Veille Technologique

Failles de sécurité sur les Systèmes Windows

Voici mon lien pearltrees

Vous pourrez y trouver toutes les informations de mon flux RSS

Désormais, il existe une traduction française officielle du terme « doxing »

Si je vous dis « divulgation malveillante d’informations personnelles », cela ne vous parle peut-être pas… Par contre, si je vous dis « doxing », c’est peut-être plus clair ! Toutefois, la première formule correspond à une traduction française officielle !

Une fois de plus, un terme anglophone se retrouve traduit alors que, disons, ce n’est pas forcément utile. Surtout quand on voit la longueur de la traduction, cela fait sourire ! Bref, si l’on vous parle de divulgation malveillante d’informations personnelles, c’est bien au doxing que l’on fait référence.

Ce vendredi 24 février, la commission d’enrichissement de la langue française a publié une nouvelle liste de mots étrangers appartenant aux domaines de l’informatique et du droit, qui bénéficient désormais d’une traduction officielle. Comme je l’évoquais précédemment, le doxing (ou doxxing) en fait partie, mais ce n’est pas le seul. La liste complète et officielle de ces nouvelles traductions est disponible ici.

Les conseils de la NSA pour sécuriser son réseau à la maison

La NSA a mis en ligne un nouveau guide à destination des télétravailleurs pour les aider à sécuriser au mieux le réseau de leur domicile. Quels sont les conseils de l’agence américaine ? Réponse dans cet article.

Pour rappel, la NSA pour National Security Agency (ou « Agence nationale de la sécurité ») est une agence responsable de la sécurité des systèmes d’information aux États-Unis.

Dans ce nouveau guide mis en ligne, la NSA donne des conseils aux utilisateurs pour protéger leurs données, leurs équipements, mais également pour limiter les risques d’attaques informatiques.

 

CVE-2023-32784 : cette faille dans KeePass permet de récupérer le mot de passe maître !

Une nouvelle faille de sécurité a été découverte dans le gestionnaire de mots de passe KeePass. En exploitant cette vulnérabilité, il est possible de récupérer en clair le mot de passe maître d’une base KeePass.

Associée à la référence CVE-2023-32784, cette faille de sécurité permet de récupérer le mot de passe maître d’une base KeePass, qu’elle soit déverrouillée ou verrouillée, à partir d’un dump de la mémoire sur la machine locale. Cette méthode, associée à PoC « KeePass Master Password Dumper » fonctionne que ce soit à partir d’un dump mémoire de la RAM complète, du processus, du SWAP (pagefile.sys), ou du fichier d’hibernation de Windows (hiberfil.sys).

Une personne se présentant avec le pseudo « vdohney » est à l’origine de cette découverte et elle affirme que cette méthode fonctionne sur Windows avec la dernière version de KeePass, à savoir la version 2.53.1 à l’heure actuelle. Vdohney affirme aussi que ça devrait fonctionner sur le même principe sur macOS et Linux.

Il explique aussi que c’est lié à .NET et à la façon dont sont stockées les chaînes en mémoire. Il parvient à récupérer les caractères les uns après les autres, et au final, à reconstituer le mot de passe maître permettant d’accéder à la base KeePass. Toutefois, il précise que le premier caractère du mot de passe n’est pas récupéré, mais quand il n’y a qu’un seul caractère à deviner, soyons honnêtes : ce n’est qu’une question de temps pour le trouver.

Sur son GitHub, vdohney précise : « KeePass Master Password Dumper est un simple outil de démonstration de concept utilisé pour extraire le mot de passe principal de la mémoire de KeePass. A l’exception du premier caractère du mot de passe, il est généralement capable de récupérer le mot de passe en clair.« 

Comment se protéger ?

Dominik Reichl, le créateur de KeePass, a déjà développé un correctif. Toujours d’après vdohney, ce correctif est opérationnel et permet de se protéger de cette faille de sécurité. Toutefois, il va falloir attendre avant d’en profiter, car il sera intégré à KeePass 2.54 dont la sortie est prévue au plus tard au mois de juillet 2023.

Dominik Reichl précise : « Les améliorations seront incluses dans la prochaine version de KeePass (2.54). Actuellement, je travaille encore sur quelques autres fonctionnalités (également liées à la sécurité) et dès qu’elles seront terminées, je sortirai la version 2.54 de KeePass.« 

Vous pouvez retrouver plus d’informations sur GitHub et sur l’espace d’échange KeePass.

Il ne reste plus qu’à attendre la sortie de KeePass 2.54.

 

VMware Workstation Pro : comment chiffrer une machine virtuelle ?

I. Présentation

Dans ce tutoriel, nous allons apprendre à sécuriser une machine virtuelle VMware Workstation Pro en chiffrant l’ensemble des fichiers de cette VM ! Cette fonctionnalité est disponible sur les versions payantes et gratuites de VMware Workstation (Pro/Player) et elle permet de protéger les données de la VM, ainsi que les fichiers de configuration associés à cette même VM.

Dans l’interface graphique de VMware Workstation, il n’existe pas d’options pour chiffrer l’ensemble des machines virtuelles de façon automatique. Cela se configure VM par VM. Lorsqu’une machine virtuelle est chiffrée, elle ne pourra pas être utilisée sur une autre machine à moins de connaître la clé de déchiffrement.

Si l’on prend l’exemple de VMware Workstation Pro 17 et de Windows 11, le chiffrement de la machine virtuelle est obligatoire pour que la puce TPM virtuelle (vTPM) soit opérationnelle : ce qui permet de respecter les prérequis de Windows 11 et de procéder à l’installation de Windows 11 dans la machine virtuelle. En complément, et toujours pour Windows 11, la VM doit être en mode UEFI.

Note : VMware Workstation utilise l’algorithme de chiffrement AES 256 bits pour chiffrer les VMs.

Sans plus attendre, voyons comment chiffrer une VM.

II. Chiffrer une machine virtuelle VMware

Ouvrez l’application VMware Workstation sur votre machine et accédez aux paramètres de la machine virtuelle à chiffrer : clic droit sur la VM puis « Settings« . Pour information, cette opération n’est pas définitive.

Cliquez sur l’onglet « Options » et là vous verrez une option nommée « Access Control » sur l’état « Not encrypted« . Cliquez sur cette option puis sur « Encrypt » à droite.

VMware Workstation Pro 17 - Chiffrer une VM - Etape 1

Un assistant s’exécute. J’attire votre attention sur l’option « Choose encryption type » :

  • All the files : tous les fichiers de la machine virtuelle seront chiffrés, donc les disques virtuels, le fichier de configuration « .vmx », etc.
  • Only the files needed to support a TPM are encrypted : tous les fichiers liés à la fonction de vTPM sont chiffrés, tandis que les autres ne le seront pas.

Tant qu’à chiffrer, nous allons chiffrer tous les fichiers : choisissez la première option. Ensuite, indiquez un mot de passe qui fera office de clé de chiffrement. Attention, ce mot de passe n’est pas récupérable par ailleurs donc prenez soin de le stocker dans votre gestionnaire de mots de passe.

Enfin, l’option « Remember the password on this machine in Credential Manager » permet de stocker le mot de passe dans le gestionnaire d’identification de Windows. Ceci vous évite de saisir le mot de passe à chaque fois que vous souhaitez utiliser la VM puisque VMware ira piocher dans Windows. Si vous travaillez sur une machine virtuelle dans le cadre d’un projet sensible, il est préférable de décocher cette option.

Cliquez sur « Encrypt » pour lancer le processus de chiffrement.

VMware Workstation Pro 17 - Chiffrer une VM - Etape 2

Patientez pendant le chiffrement de la VM. Selon la taille de la VM et la puissance de votre PC, ce processus sera plus ou moins long.

VMware Workstation Pro 17 - Chiffrer une VM - Etape 3

Une fois que c’est fait, la machine virtuelle passe sur l’état « Encrypted » avec le message « This virtual machine is fully encrypted« . Sur une machine où le chiffrement partiel a été sélectionné, le message sera différent : « This virtual machine is partially encrypted« .

Ici, on peut constater deux options :

  • Change password : pour modifier la clé de chiffrement, à condition de connaître celle actuelle
  • Remove encryption : pour arrêter de chiffrer la machine virtuelle

VMware Workstation Pro 17 - Chiffrer une VM - Etape 4

Suite à cette opération, les fichiers de ma machine virtuelle sont chiffrés. Par exemple, voici le fichier de configuration « .vmx » :

VMware Workstation Pro 17 - Chiffrer une VM - Etape 5

Lorsqu’une machine virtuelle est chiffrée et verrouillée, elle apparaît avec un cadenas dans l’interface de VMware, comme ceci :

VMware Workstation Pro 17 - Chiffrer une VM - Etape 6

Si l’on clique dessus pour l’utiliser, le mot de passe est demandé. Si le mot de passe est valide, la machine virtuelle pourra être utilisée.

VMware Workstation Pro 17 - Chiffrer une VM - Etape 7

Une fois la machine déverrouillée, elle le reste tant que l’application VMware Workstation est ouverte ou que l’onglet de la VM reste actif dans l’application. Pour aller plus loin et verrouiller la VM lorsqu’elle est éteinte, il faut activer l’option « Close after powering off or suspending » dans la section « Power » des options de la VM en question.

VMware Workstation Pro - VM déverrouillée onglet actif

III. Conclusion

Suite à la lecture de ce tutoriel, vous êtes capable de chiffrer une machine virtuelle dans VMware Workstation Pro ! Utile pour faire tourner Windows 11 ou sécuriser certaines machines virtuelles.

 
 
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

 

Vol de comptes Facebook : ce malware a déjà fait plus de 300 000 victimes

Les chercheurs en sécurité de chez Zimperium ont mis en ligne un rapport au sujet d’un logiciel malveillant pour Android, actif depuis 2018, et qui aurait fait 300 000 victimes à travers le monde grâce à des applications malveillantes.

Surnommé Schoolyard Bully, ce logiciel malveillant se cache au sein d’applications éducatives pour les appareils Android. Dès que la victime installe une application qui contient ce malware, celui-ci entre en action dans le but de dérober des identifiants et des informations au sujet de votre compte Facebook, notamment l’adresse e-mail et le mot de passe.

Pour récupérer ces informations, le malware ouvre une page de connexion Facebook légitime dans l’application (via WebView) afin de récupérer la saisie clavier et grâce à un code JavaScript malveillant, il parvient à extraire les données. Les chercheurs en sécurité de chez Zimperium expliquent que la méthode « evaluateJavascript » est utilisée et que « le code JavaScript extrait la valeur des éléments avec ‘ids m_login_email’ et ‘m_login_password’, qui sont des espaces réservés pour le numéro de téléphone, l’adresse électronique et le mot de passe.« 

Toujours d’après eux, les applications qui distribuent Schoolyard Bully ne sont plus présentes sur le Google Play Store mais elles l’ont été à une époque. Toutefois, elles sont toujours distribuées via des magasins d’applications alternatifs. Il y aurait au moins 37 applications malveillantes associées à cette campagne qui dure depuis plusieurs années.

Cette campagne lancée en 2018 semble toujours active aujourd’hui. À ce jour, Zimperium estime que Schoolyard Bully est parvenu à faire au moins 300 000 victimes réparties dans 71 pays à travers le monde, y compris en France, avec tout de même un fort impact au Vietnam. Il s’agit d’une estimation et les chiffres réels pourraient être plus importants.

Pour le moment, les chercheurs en sécurité de chez Zimperium ne sont pas parvenus à identifier le groupe de cybercriminels à l’origine de cette campagne. Il ne s’agirait pas du groupe FlyTrap, connu aussi pour voler des identifiants Facebook au Vietnam.

Source

 

Fuite de codes sources chez Okta, à cause du piratage de dépôts GitHub !

L’entreprise américaine Okta termine l’année par un nouvel incident de sécurité : ses dépôts GitHub privés ont été compromis par un pirate informatique. Des codes sources ont fuités. Faisons le point.

Pour rappel, Okta est une entreprise américaine spécialisée dans les services d’authentification : une entreprise peut déléguer l’authentification à ses services en s’appuyant sur ceux d’Okta : la gestion des mots de passe, le MFA, ainsi que le portail en libre-service des utilisateurs, dans le but de contrôler l’accès à des applications et au réseau de l’entreprise.

Souvenez-vous, en mars 2022, Okta avait déjà fait la une de l’actualité après avoir subi une cyberattaque du groupe LAPSUS$, très en forme à cette période de l’année. Malheureusement, l’année se termine mal, avec ce nouvel incident de sécurité d’un genre différent. Pour communiquer au sujet de cet incident de sécurité, Okta a envoyé un e-mail confidentiel à ses référents en matière de cybersécurité, ainsi qu’aux auteurs du site BleepingComputer. Mais que s’est-il passé ?

Okta - Piratage décembre 2022
Source : BleepingComputer

Au début du mois de décembre, GitHub a alerté Okta de la présence d’un accès suspect sur les dépôts de code d’Okta. Suite à cette alerte, les équipes d’Okta ont pris la décision de restreindre l’accès aux dépôts GitHub et de suspendre les intégrations avec des applications tierces.

Après analyse, il s’avère qu’il y a eu un vol du code source présent sur les dépôts GitHub privés d’Okta. Plus précisément, cet incident semble concerner les dépôts de code d’Okta Workforce Identity Cloud mais pas celui des produits Auth0 Customer Identity Cloud.

Même s’il y a eu un vol du code source, les pirates n’ont pas pu accéder aux données des clients et ces derniers n’ont pas d’actions particulières à engager. L’entreprise américaine précise : « Okta ne s’appuie pas sur la confidentialité de son code source pour sécuriser ses services.« 

Reste à savoir quelles seront les répercussions éventuelles de cet incident de sécurité. Pour le moment, nous ne savons pas comment les pirates sont parvenus à accéder aux dépôts privés d’Okta. Cet article sera mis à jour si de nouvelles informations sont publiées à ce sujet.

Source

 

Au moins 9 ransomwares s’appuient sur le code source Babuk pour chiffrer VMware ESXi

De nombreux gangs de cybercriminels s’appuient sur le code source du ransomware Babuk pour créer leur propre version et s’attaquer aux serveurs VMware ESXi. Une menace qui n’est pas nouvelle, mais qui s’intensifie avec le temps.

Le ransomware Babuk n’est plus en circulation depuis 2021, et son code source avait même fuité en septembre 2021 suite à une embrouille en interne entre certains membres de l’équipe. Même si aujourd’hui le ransomware Babuk n’existe plus officiellement, le code source est utilisé par plusieurs groupes de cybercriminels… En effet, cette tendance a été observée par les chercheurs en sécurité de chez Sentinel One qui ont repéré 9 ransomwares basés sur le code source de Babuk, entre le second semestre 2022 et le premier semestre 2023.

Grâce au code source de Babuk, les pirates disposent d’une très bonne base pour créer un ransomware avec un module de chiffrement compatible Linux et VMware ESXi, même s’ils n’ont pas une grande expertise technique sur ces systèmes. Lorsqu’il s’agit d’un groupe sans beaucoup de ressources, il est très facile de détecter la réutilisation du code source de Babuk. Dans son rapport, Sentinel One précise : « Ceci est particulièrement évident lorsqu’il est utilisé par des acteurs disposant de moins de ressources, car ces acteurs sont moins susceptibles de modifier de manière significative le code source de Babuk.« 

D’ailleurs, voici la liste des groupes de cybercriminels qui utilisent un ransomware basé sur Babuk :

  • Play (fichiers chiffrées en .FinDom),
  • Mario (fichiers chiffrées en .emario),
  • Conti POC (fichiers chiffrées en .conti),
  • REvil alias Revix (fichiers chiffrées en .rhkrc),
  • Cylance Ransomware,
  • Dataf Locker,
  • Rorschach alias BabLock,
  • Lock4,
  • RTM Locker

Cette liste de ransomwares basés sur Babuk s’ajoute à la longue liste de ransomwares qui s’attaquent aux hyperviseurs sous VMware ESXi. Ce type de rapport de sécurité est là pour nous rappeler la présence constante de cette menace : ce qui n’est pas étonnant, car avec la compromission d’un seul serveur, l’attaquant peut chiffrer X machines virtuelles et avoir un impact fort sur le SI de l’entreprise.

Source

 

Alerte aux utilisateurs d’Outlook : la CVE-2023-29324 réactive une faille de sécurité déjà corrigée !

À l’occasion du Patch Tuesday de Mai 2023, Microsoft a corrigé une faille de sécurité dans Windows qui pourrait être utilisée via Outlook pour contourner un correctif déployé en mars 2023. Le problème, c’est que la précédente vulnérabilité était déjà massivement exploitée par les cybercriminels.

Rappel sur la CVE-2023-23397

Souvenez-vous : le Patch Tuesday de Mars 2023 avait permis à Microsoft de déployer un correctif pour la faille de sécurité CVE-2023-23397 qui affecte l’application Outlook. On avait également appris de la part de Microsoft que des cybercriminels liés au service de renseignement militaire russe (GRU) exploitaient cette vulnérabilité dans Outlook pour cibler des organisations européennes !

D’ailleurs, ils en ont profité pendant plusieurs mois et Microsoft avait communiqué quelques chiffres : entre avril 2022 et décembre 2022, ils sont parvenus à infiltrer le réseau d’au moins 15 organisations, notamment dans les domaines de l’énergie, du transport, du militaire ainsi que des organisations gouvernementales.

Nouveau contournement avec la CVE-2023-29324

La faille de sécurité CVE-2023-29324 affecte toutes les versions de Windows et elle a été reportée par le chercheur en sécurité Ben Barnea de chez Akamai. D’ailleurs, il précise : « Toutes les versions de Windows sont concernées par cette vulnérabilité. Par conséquent, toutes les versions du client Outlook sous Windows sont exploitables« .

Initialement, pour compromettre des machines, et comme je l’expliquais dans cet article, les cybercriminels envoient des notes et des tâches malicieuses via Outlook pour compromettre la machine des utilisateurs pris pour cible en chargeant des fichiers malveillants. Une méthode d’autant plus dangereuse qu’il n’y a pas besoin d’action de la part de l’utilisateur, car Outlook va précharger l’élément au moment de sa réception.

En corrigeant la faille de sécurité CVE-2023-23397, Microsoft a introduit un appel vers la fonction de contrôle MapUrlToZone pour empêcher l’utilisation de chemins UNC qui pointent vers des partages SMB situés sur internet et contrôlés par les attaquants. Car, effectivement, c’est ce que cherchaient à faire les attaquants en exploitant massivement la faille de sécurité CVE-2023-23397.

Le problème, d’après Ben Barnea, c’est que l’URL dans les messages de rappel peut être modifiée pour tromper les contrôles MapUrlToZone ! De ce fait, il devient possible d’utiliser des chemins d’accès locaux ou d’accès distants. Grâce à ce contournement, il (re)devient possible d’utiliser cette méthode pour compromettre une machine.

Comment se protéger ?

La bonne nouvelle, c’est que cette vulnérabilité a été corrigée par le Patch Tuesday de Mai 2023 mis en ligne il y a quelques jours. Sur le site de Microsoft, cette vulnérabilité est associée à MSHTLM qui est un composant utilisé par IE et Edge legacy. De ce fait, il y a un correctif additionnel à installer en fonction de la version du système cible.

En résumé, pour être totalement protégé, vous devez installer les correctifs pour les deux failles de sécurité : CVE-2023-23397 et CVE-2023-29324. Pour cela, vous pouvez installer la mise à jour mensuelle cumulative.

Toutefois, si vous avez pour habitude d’installer uniquement les correctifs de sécurité, vous devez aussi installer la mise à jour cumulative pour IE, comme l’indique Microsoft : « Pour une protection complète, nous recommandons aux clients qui installent les mises à jour Security Only d’installer les mises à jour IE Cumulative pour cette vulnérabilité. » – Tous les liens sont sur cette page.

De son côté, le CERT-FR avait mis en ligne un bulletin d’alerte à ce sujet et il a été mis à jour ces dernières 24 heures pour ajouter qu’il y avait un contournement possible avec la CVE-2023-29324.

Source

 

Les appareils Ruckus compromis par le botnet AndoryuBot à l’aide d’une faille critique

Le botnet AndoryuBot s’attaque aux installations avec du matériel Ruckus dans le but de compromettre des points d’accès Wi-Fi et de les exploiter dans le cadre d’attaques DDoS. Faisons le point sur cette menace.

Ruckus est une marque très populaire : il n’est pas rare de croiser des points d’accès Wi-Fi dans les couloirs des entreprises, même s’il y a d’autres types d’équipements réseau disponibles au catalogue du fabricant californien.

L’alerte de ce jour concerne la faille de sécurité CVE-2023-25717 qui affecte l’interface d’administration Ruckus Wireless, des appareils en version 10.4 ou antérieures. Cette vulnérabilité n’est pas nouvelle puisqu’elle a été découverte et corrigée le 8 février 2023. Toutefois, et c’est souvent le cas avec le matériel réseau, de nombreux appareils Ruckus n’ont pas encore bénéficié du correctif de sécurité. Pire encore, certains modèles de points d’accès Wi-Fi affecté par la faille de sécurité ne sont plus pris en charge par Ruckus : ils n’auront pas le droit à un correctif.

Dans le bulletin de sécurité de Ruckus, on peut prendre connaissance de la très longue liste de modèles affectés par cette faille de sécurité : Ruckus R300, Ruckus R310 Ruckus R350, Ruckus R550, Ruckus R560, Ruckus R650, Ruckus T350c, etc… Dans cette liste, il y a des points d’accès Wi-Fi mais aussi des contrôleurs Wi-Fi ZoneDirector et SmartZone.

De manière générale, il y a trois façons de se protéger : mettre à jour le firmware de ses appareils, définir un mot de passe administrateur robuste et désactiver l’interface d’administration si elle n’est pas utilisée.

Le botnet AndoryuBot

C’est en février 2023 que le botnet AndoryuBot a été repéré pour la première fois. Mais d’après Fortinet, la version actuelle qui cible les appareils Ruckus est apparue à la mi-avril, c’est-à-dire il y a moins d’un mois. Son objectif est de compromettre des appareils vulnérables (non patchés) afin qu’ils soient utilisés par le botnet pour réaliser des attaques par déni de service distribué.

L’infection d’un appareil passe par l’exécution d’une requête HTTP GET spécialement conçue pour exploiter cette faille de sécurité. Un script additionnel est téléchargé dans l’objectif de permettre au malware de se propager à d’autres appareils. Une fois l’appareil compromis, il établit une connexion à un serveur C2 via le protocole SOCKS pour bypasser plus facilement les firewalls : à partir de ce moment-là, il est en attente d’ordre.

Fortinet précise que le botnet AndoryuBot peut être loué pour réaliser des attaques : à partir de 20 dollars pour une attaque de 90 secondes qui va utiliser tous les appareils zombies disponibles.

Utilisateurs Ruckus, à vos mises à jour !

Source

 

CVE-2023-27350 : plusieurs groupes de pirates ciblent les serveurs PaperCut !

De nombreuses attaques sont en cours sur les serveurs de gestion d’impression équipés de la solution PaperCut ! Des entreprises restent vulnérables à la CVE-2023-27350 alors qu’un correctif existe depuis plusieurs semaines.

La faille de sécurité CVE-2023-27350 intéresse particulièrement les cybercriminels et plusieurs groupes l’utilisent activement dans le cadre d’attaques. Pour rappel, il s’agit d’une faille d’exécution de code à distance sans authentification au préalable, qui impacte toutes les versions 8.0 ou ultérieures de PaperCut MF ou NG sur tous les OS, à la fois pour les serveurs d’application et de site.

De son côté, Microsoft a repéré deux groupes de pirates soutenus par l’État iranien nommés Mint Sandstorm (précédemment suivi sous le nom de PHOSPHORUS) et Mango Sandstorm qui effectuent des attaques sur les serveurs PaperCut en visant cette vulnérabilité. Dans un tweet, l’entreprise américaine précise : « L’activité d’exploitation de PaperCut par Mint Sandstorm semble opportuniste et touche des organisations de tous les secteurs et de toutes les zones géographiques.« 

Récemment, on a appris que les groupes de ransomware Clop et LockBit exploitaient aussi cette vulnérabilité dans le cadre d’attaques pour bénéficier d’un accès initial au réseau d’une entreprise.

De son côté, l’agence américaine CISA a déjà ajouté cette faille de sécurité à sa liste des vulnérabilités connues et exploitées dans le cadre d’attaques depuis le 21 avril dernier.

PaperCut : comment se protéger de la CVE-2023–27350 ?

Pour se protéger, il est recommandé aux utilisateurs des versions concernées d’effectuer une mise à niveau vers les versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut MF et PaperCut NG. Ces versions (et les prochaines) permettent d’être protégé contre les attaques en cours.

Pour les entreprises qui utilisent une version plus ancienne que la version 19 de PaperCut, sachez qu’il n’y aura pas de correctif puisque ce sont des versions en fin de vie. De ce fait, il va falloir passer par l’achat d’une nouvelle licence PaperCut ou d’une mise à niveau de la licence actuelle.

Enfin, pour exploiter cette vulnérabilité, plusieurs chemins d’exploitation sont possibles, notamment une technique assez récente et qui permettrait de ne pas être détectée comme l’explique cet article sur VulnCheck.

Source

 

Noyau Linux : une faille dans Netfilter permet de devenir root sur la machine !

Une nouvelle faille de sécurité importante a été découverte dans le noyau Linux, et plus particulièrement dans Netfilter. En exploitant cette vulnérabilité, un utilisateur local peut devenir root sur la machine.

Associée à la référence CVE-2023-32233, cette faille de sécurité découverte dans Netfilter n’est pas encore associée à un niveau de sévérité. Pourtant, on a déjà certains détails intéressants à son sujet. Pour rappel, Netfilter est un framework intégré au noyau Linux qui sert à ajouter des fonctions de pare-feu et de NAT au système. Pour gérer les règles Netfilter, on peut s’appuyer sur des outils comme le très célèbre IPtables ou UFW.

Des chercheurs en sécurité ont révélé des informations au sujet de cette faille de sécurité Netfilter et ils ont créé un exploit pour faire une démonstration de la CVE-2023-32233. D’après eux, cette vulnérabilité affecte plusieurs versions du noyau Linux, y compris la version stable actuelle : le kernel v6.3.1. L’équipe derrière le noyau Linux est déjà au courant de cette découverte.

D’ailleurs, l’ingénieur Pablo Neira Ayuso a déjà effectué un commit sur le code source du noyau Linux pour proposer un correctif afin de mieux gérer le cycle de vie des ensembles anonymes dans le sous-système Netfilter « nf_tables » (voir ici). Grâce à cette modification, la corruption de la mémoire via cette vulnérabilité n’est plus possible, ce qui empêche l’élévation de privilèges.

De toute façon, il est important de préciser que pour exploiter cette vulnérabilité, il faut disposer d’un accès à la machine, avec un utilisateur standard. Ensuite, il devient possible d’effectuer une élévation de privilèges pour devenir « root ».

Pour le moment, les chercheurs en sécurité Patryk Sondej et Piotr Krysiuk ont partagé l’exploit PoC en privé avec l’équipe de développeurs du noyau Linux. Toutefois, ce n’est qu’une question de jour avant que ces informations soient rendues publiques : l’exploit sera mis en ligne le lundi 15 mai 2023, avec tous les détails techniques. C’est tout à fait normal vis-à-vis de la politique de divulgation.

Puisque cette faille de sécurité se situe dans le noyau Linux, ceci impacte de nombreuses distributions telles que Debian (exemple ici), Ubuntu, Red Hat, Gentoo, etc… Des mises à jour de sécurité devraient voir le jour rapidement.

Source

 

Désormais, le malware ViperSoftX cible les gestionnaires de mots de passe !

Une nouvelle version du logiciel malveillant ViperSoftX a été découverte par des chercheurs en sécurité et il s’avère qu’elle cible les gestionnaires de mots de passe ! Mais pas seulement…!

Les chercheurs en sécurité de chez TrendMicro ont mis en ligne un nouveau rapport au sujet du retour du malware ViperSoftX, dans sa nouvelle version. Ce logiciel malveillant appartient à la catégorie des « information stealer » ou voleur de données si vous préférez. Bien qu’il soit fortement intéressé par les portefeuilles de cryptomonnaies, il a évolué de manière à s’intéresser aussi aux gestionnaires de mots de passe.

Une fois la machine infectée, le malware ViperSoftX déploie l’extension VenomSoftX dans le navigateur Google Chrome. Toutefois, la dernière version repérée par TrendMicro est capable aussi de cibler Brave, Edge, Opera et Firefox. Cette extension est utilisée pour collecter les données.

En ce qui concerne les portefeuilles de cryptomonnaies pris en charge par le malware, la liste est longue dans cette nouvelle version :

  • Blockchain
  • Binance
  • Kraken
  • eToro
  • Coinbase
  • Gate.io
  • Kucoin
  • Armory
  • Atomic Wallet
  • Binance
  • Bitcoin
  • Blockstream Green
  • Coinomi
  • Delta
  • Electrum
  • Exodus
  • Guarda
  • Jaxx Liberty
  • Ledger Live
  • Trezor Bridge
  • Coin98
  • Coinbase
  • MetaMask
  • Enkrypt

Au-delà de prendre en charge plus de portefeuilles, cette nouvelle version s’intéresse aussi à deux gestionnaires de mots de passe : 1Password et KeePass. En effet, Trend Micro explique que ViperSoftX recherche les fichiers associés à ces deux applications dans le but de voler les données stockées dans leurs extensions de navigateur. L’objectif ici étant la collecte d’identifiants et de mots de passe. D’ailleurs, au sujet de KeePass, les chercheurs se sont demandés si le malware tenter d’exploiter la fameuse vulnérabilité CVE-2023-24055 mais cela ne semble pas être le cas.

Au final, les informations collectées par ViperSoftX sont envoyées vers un serveur C2 piloté par les cybercriminels à l’origine de l’attaque informatique.

Une menace mondiale, bien présente en France

Initialement documenté en 2020, le malware ViperSoftX a évolué au fil des années et il devient de plus en plus redoutable. Par exemple, en 2022, Avast avait détecté et stoppé 93 000 attaques de ce logiciel malveillant. D’après les dernières informations publiées par Trend Micro, ViperSoftX cible les particuliers et les entreprises, tout en sachant que 50% des cibles sont présentes dans les pays suivants : l’Australie, le Japon, les États-Unis, l’Inde, Taïwan, la Malaisie, la France et l’Italie. Pour le coup, la menace est mondiale.

Ce logiciel malveillant est distribué au travers de logiciels piratés, de générateurs de clés ou encore de logiciel d’activation de licences.

Source

 

Cyberattaque Western Digital : les données personnelles des clients sont dans la nature !

Des nouvelles de la cyberattaque qui a impactée Western Digital en mars dernier : les pirates sont parvenus à récupérer une copie d’une base de données qui contient les données personnelles des clients de la boutique en ligne de la marque. Mauvaise nouvelle.

Pour rappel, le 26 mars 2023, Western Digital a subit une cyberattaque importante puisque les pirates informatiques du gang de ransomware BlackCat (ALPHV) sont parvenus à compromettre le réseau interne de l’entreprise et à dérober des données. D’ailleurs, suite à cet incident, de nombreux services My Cloud avaient été mis hors ligne : My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, SanDisk Ixpand Wireless Charger.

Ce week-end, et après avoir mené l’enquête de son côté accompagné par des experts, Western Digital a envoyé une notification par e-mail à ses clients pour les informer d’une fuite de données personnelles. Voici ce que l’on peut lire dans ce communiqué : « D’après cette enquête, nous avons récemment appris qu’aux alentours du 26 mars 2023, un tiers non autorisé a obtenu une copie de la base de données Western Digital contenant certaines informations à caractère personnel liées aux clients de notre boutique en ligne. »

Puis, l’entreprise américaine donne des précisions sur la nature de ces données ! Il s’agit de noms de clients, des adresses d’expédition et de facturation, des adresses e-mails et des numéros de téléphone. Cette base de données contient aussi deux autres informations protégées par du chiffrement (avec salage) : le mot de passe du compte et les numéros partiels de la carte de paiement.

Pour le moment, et par précaution, il n’est plus possible de se connecter à son compte ou d’effectuer une commande sur la boutique en ligne de Western Digital. Un retour en ligne est prévu pour aujourd’hui, même si une autre version du communiqué évoque le 15 mai 2023.

Cyberattaque Western Digital - Communiqué fuite de données

Si vous êtes client chez Western Digital, vous devez être méfiant : des pirates informatiques pourraient exploiter les coordonnées récupérées pour mener des attaques de phishing. Par ailleurs, il est recommandé de changer son mot de passe sur la boutique WD quand ce sera possible.

 

Android : 620 000 téléchargements pour ces apps infectées par le malware Fleckpe

Les chercheurs en sécurité de chez Kaspersky ont fait la découverte d’un nouveau logiciel malveillant qui cible Android : Fleckpe. Une fois présent sur un appareil, il a un objectif bien précis : souscrire à des abonnements à votre place afin de vous soutirer de l’argent. Faisons le point.

Les utilisateurs d’Android sont une nouvelle fois ciblés par un malware, alors qu’il en existe déjà beaucoup : Joker, Harly, Escobar, FluBot ou encore Goldoson. Révélé par Kaspersky, le logiciel malveillant Fleckpe est distribué au travers de plusieurs applications mises en ligne sur le Google Play Store et génère de l’argent en abonnant les utilisateurs à des services premium. C’est un peu comme une alternative aux appels surtaxés, sauf que là c’est un abonnement récurrent et les cybercriminels peuvent toucher tout ou partie des gains générés.

Bien qu’il y ait des infections un peu partout dans le monde, la grande majorité des victimes de Fleckpe sont situées dans les pays suivants : Thaïlande, Malaisie, Indonésie, Singapour, et Pologne.

Les chercheurs de Kaspersky ont identifié ce malware dans 11 applications utilisées par les pirates pour distribuer Fleckpe. Toutefois, il pourrait y avoir d’autres applications concernées. Dans le rapport de Kaspersky, on peut lire : « Toutes les applications avaient été retirées du marché au moment de la publication de notre rapport, mais les acteurs malveillants ont pu déployer d’autres applications, non encore découvertes, de sorte que le nombre réel d’installations pourrait être plus élevé.« 

Parmi les applications identifiées par Kaspersky, il y a « Beauty Slimming Photo Editor » qui compte plus de 100 000 téléchargements et « Photo Effect Editor » avec plus de 50 000 téléchargements. Voici la liste complète des applications malveillantes :

  • com.impressionism.prozs.app
  • com.picture.pictureframe
  • com.beauty.slimming.pro
  • com.beauty.camera.plus.photoeditor
  • com.microclip.vodeoeditor
  • com.gif.camera.editor
  • com.apps.camera.photos
  • com.toolbox.photoeditor
  • com.hd.h4ks.wallpaper
  • com.draw.graffiti
  • com.urox.opixe.nightcamreapro

Au total, ces applications cumulent environ 620 000 téléchargements, ce qui n’est pas neutre. Si vous utilisez l’une de ces applications, vous devez la supprimer dès maintenant et effectuer une analyse antivirale sur votre appareil.

Source