Catégories
Actualité Sécurité

Log4Shell – La faille de la fin d’année déjà corrigée

Log4Shell – La faille de la fin d’année déjà corrigée

Log4Shell – La faille de la fin d’année déjà corrigée

Le chercheur en sécurité informatique Chen ZHAOJUN a découvert le 10 décembre 2021 la faille CVE-2021-44228. Identifiée dans la bibliothèque Java « log4J », cette dernière est utilisée pour enregistrer les évènements d’autres logiciels (enregistrer toutes les requêtes d’un site web par exemple).

Log4J est certainement la bibliothèque de journalisation la plus utilisée (Apple, Tesla, Amazon, Google, Steam, …)

Cette vulnérabilité permet une connexion non souhaité au travers de l’interface Java Naming and Directory Interface. Il s’agit d’un programme (API Java) qui s’interface avec des annuaires LDAP.

L’exploitation de  cette faille consiste à injecter une payload (application auto-executable) ) qui va demander à Log4J d’aller chercher une valeur issue d’une source tierce au travers de LDAP et/ou DNS et ainsi peut donner le contrôle de l’annuaire LDAP interfacé.

La fondation Apache à toutefois proposé rapidement un patch correctif.

Dans le cas où la mise à jour de log4J vers une version 2.15.0 ou supérieur est impossible, des solutions de contournements existent :

Pour les applications utilisant les version 2.10.0 et ultérieurs de la bibliothèque log4j, il est également possible de se prémunir contre toute attaque en modifiant le parametre de configuration log4j2.formatMsgNoLookups=true

Une autre alternative consiste à supprimer la classe JndiLookup dans le paramètre classpatch pour élimer le vecteur principal d’attaque  en sachant que els chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque)

Il est également possible d’exploiter la vulnérabilité log4shell elle-même pour la patcher.

Écrit par – Frédéric KEMPF

Revenez plus tard pour plus de contenu
Catégories
Actualité Sécurité

Cybersécurité : Quels sont les pays qui subissent le plus grand nombre d’attaques significatives

Cybersécurité : Quels sont les pays qui subissent le plus grand nombre d’attaques significatives

Cybersécurité : Quels sont les pays qui subissent le plus grand nombre d’attaques significatives

Cyberattaques par Pays

Les études concernant les cyberattaques ne manquent pas sur le web cependant peu d’entre elles mettent en évidence ces chiffres sur une longue période.

Specops a repris l’ensemble de ces données sur les 14 dernières années, nous pouvons alors constater que les trois pays les plus touchés par des attaques significatives sont : les Etats Unis (156) suivi du Royaume Uni (47) et sur la dernière marche du podium l’Inde avec 23 attaques de grande ampleur.

La France se place quant à elle à la 11e place à égalité avec Israël avec pas moins de 11 attaques majeures.

Source SPECOPS :  https://specopssoft.com/blog/countries-experiencing-significant-cyber-attacks/

Qu’est-ce qu’une attaque « significative »

 

Les cyberattaques « significatives » sont définies comme des cyberattaques contre les agences gouvernementales d’un pays, les entreprises de défense et de haute technologie, ou les crimes économiques ayant pour résultante des pertes chiffrées à plus d’un million de dollars.

Écrit par notre Head of IT – Christopher Mogis

Revenez plus tard pour plus de contenu
Catégories
Sécurité

Solarwinds: la cyberattaque historique des Etats-unis

Solarwinds: la cyberattaque historique des Etats-unis

Solarwinds: la cyberattaque historique des Etats-unis

Le contexte :

Le récent piratage de la société SolarWind découvert par la société FireEye le 8 décembre 2020 a touché de nombreux départements du gouvernement américain ainsi que ses agences fédérales et de nombreuses entreprises présentes aux Etats-Unis, en Europe et en Asie.

De nombreuses équipes d’experts cherchent à comprendre comment cette offensive a pu se produire, et nous apprenons chaque jour de nouveaux éléments sur cette affaire :

Caractéristiques de l’attaque :

Les informations disponibles permettent d’affirmer que les pirates ont obtenu un accès en contournant l’authentification de l’API gérant la communication avec les équipements de surveillance par l’insertion de paramètres précis dans certaines requêtes adressées à un serveur, permettant l’exécution de commandes API non authentifiées.

Le système SolarWinds Orion peut en effet définir le drapeau « SkipAuthorization » à ces requêtes, les exécutant ainsi sans autorisation ! Cette vulnérabilité aurait été implantée par les hackers en attaquant son processus de fabrication, introduisant une backdoor et transformant le logiciel réputé mondialement en Cheval de Troie lors d’une mise à jour.

Cette attaque d’une ampleur rarement atteinte aurait été mise en place depuis le mois de mars par les hackers. Elle a été exposée par la société de cybersécurité FireEye.

En plus de cette attaque, Microsoft a récemment signalé qu’une deuxième compromission du système SolarWind Orion aurait pu se produire par un autre malware nommé SUPERNOVA. Celui-ci se présente sous la forme d’un shell web permettant l’entrée et l’exécution de commandes distantes par un attaquant.

Cette attaque consiste à détourner un des fichiers dll gérant le logo configuré par l’utilisateur pour obtenir un accès distant.

Ces failles ont été expliquées par SolarWinds dans son communiqué du 24 décembre, précisant que ces vulnérabilités ont pu permettre le déploiement d’un logiciel malveillant.

Lien : Security Advisory | SolarWinds

Les dégâts de ces attaques sont encore en train d’être mesurés, mais on estime déjà plus de 18 000 clients compromis, dont 450 des 500 plus grandes entreprises mondiales.

Nos conseils :

Cette attaque montre que tout le monde peut être la cible de personnes malveillantes. Afin de se prémunir contre ce genre de cyberattaque, nos experts vous recommande de :

– Paramétrer le serveur pour empêcher l’exécution de certains types d’extensions de fichiers.

– Installer un tunnel VPN et accéder aux ressources de l’entreprise uniquement par ce biais.

– Activer les systèmes de journalisation disponibles et surveiller les connexions entrantes, les actions.

– Désactiver les commandes « dangereuses » (par exemple exec(), shell_exec() et system() pour les serveurs PHP ).

– Eviter d’installer des plugins tiers ou des codes trouvés en ligne sans inspection préalable.

– Filtrer les flux réseaux pour n’autoriser que le strict nécessaire.

– Restreindre les droits utilisateurs au strict minimum, limiter au maximum les droits administrateur.

Revenez plus tard pour plus de contenu
Catégories
Sécurité

Comment bien protéger vos supports en télétravail ?

Comment bien protéger vos supports en télétravail ?

Comment bien protéger vos supports en télétravail ?

En cette période inédite, la distanciation sociale s’applique partout, même au travail.

Dans ce but, le gouvernement a recommandé la mise en place massive du télétravail, ce qui n’est pas chose aisée pour toutes les entreprises.

Ce mode de travail qui tend à perdurer sur le long terme, permet aux collaborateurs d’accéder à distance aux ressources de l’entreprise.

Problème ? Les cyber risques n’en sont que multipliés car les utilisateurs, souvent mal équipés ou mal sensibilisés, sont des cibles de choix pour les pirates.

Par exemple, selon l’éditeur californien Barracuda Networks, le phishing a augmenté de 667% entre février et mars 2020.

Voici nos conseils pour travailler à distance en toute sécurité :  

1°) Soyez vigilants en consultant vos emails

Les boites mails sont la cibles numéro une des hackers. Il faut donc apporter une attention particulièrement à la provenance, au contenu de ces derniers et vérifier constamment l’adresse email de l’expéditeur. En cas de doutes, n’ouvrez jamais le message suspect, ne cliquez pas sur les éventuels liens ou pièces jointes qu’il contient.

Sachez que des solutions anti-phishing pour traiter plus en amont le problème existent, comme le propose notre partenaire français MailinBlack !

2°) Assurez-vous que vos données sont bien sauvegardées

Il est primordial de sauvegarder régulièrement vos données professionnelles sur des espaces de stockages sécurisés. Si cela est possible, privilégiez toujours des solutions de type cloud comme Microsoft OneDrive ou Dropbox Pro.

3°) Gardez vos appareils à jour

Il est important d’installer régulièrement les mises à jour proposées par votre système d’exploitation, vos logiciels ou encore de vos navigateurs.

En effets ces mises à jour permettent, en plus de l’ajout de nouvelles fonctionnalités, de corriger des vulnérabilités.

4°) Exigez une politique de mot de passes forte

Il est important de mettre en place des mots de passes dit « robustes » avec un minimum de caractères et une complexité adaptée.

Selon les recommandations de l’ANSSI, pour des utilisateurs, il faut un mot de passe d’une longueur de 10 caractères comprenant des chiffres, des lettres majuscules et minuscules ainsi que des caractères spéciaux.

Également, un renouvellement de ces derniers tous les 90 jours est fortement recommandé.

5°) Excluez toute utilisation d’équipements personnels

L’utilisation des ordinateurs et téléphones personnels est à exclure, utilisez seulement le matériel fourni ou installé par l’entreprise.

6°) Utilisez une connexion VPN

L’utilisation d’un VPN (tunnel de connexion sécurisé) pour accéder via internet aux ressources internes de l’entreprise est fortement recommandé.

7°) Mettez en place un système de double authentification

La mise en place d’une double authentification (par exemple pour l’accès aux emails depuis l’extérieur) permet d’assurer l’authenticité de la personne derrière un compte.

Notre partenaire français InWebo propose des solutions adaptées.

Revenez plus tard pour plus de contenu
Catégories
Sécurité

Emotet, le malware polymorphe

Emotet, le malware polymorphe

Emotet, le malware polymorphe

Emotet est à l’heure actuel le cheval de Troie qui a le plus touché les entreprises à travers le monde.

Mais qu’est-ce qu’Emotet ?

Emotet, le malware évolutif

Emotet est un malware apparu pour la première fois en 2014. Il se présente sous la forme d’un cheval de Troie et se propage principalement par des campagnes de spams.

Ce malware a une particularité assez intéressante, il est capable de changer sa forme à chaque téléchargement ce qui rend complexe sa possible détection. Emotet est également capable de détecter l’environnement numérique il évolue. Il est donc en capacité de ne pas s’exécuter lorsqu’il a été placé dans un environnement de type Sandbox.

Emotet est également en capable de communiquer avec les command and control server dans le but d’obtenir des mises à jour similaire aux mises à jour du système d’exploitation de la machine infecté. Cela permet au malware de rester invisible et aux hackers de continuer à implémenter des nouvelles couches de malwares.

Actualité

En ce moment même une campagne Emotet est en cours dans le monde. Celle-ci compromet les boites aux lettres de vos correspondant en utilisant vos précédents échanges. L’attaque se présente de la manière suivante : Le hacker vous fait parvenir un email prenant l’apparence d’une réponse à un échange que vous avez eu avec un de vos correspondant. Ce mail contient le plus souvent un document Word en pièce jointe ou un lien de téléchargement. Une fois le document téléchargé, Word vous demande d’activer les macros. Une fois activées, le code malveillant ce déclenche et vos données sont extraites sans que vous ne vous en aperceviez. Point important à souligner, dès lors qu’une machine est infectée, elle est en mesure de contaminer l’ensemble de votre informatique très rapidement.

Faites attention et n’oubliez pas que tout le monde peut être une cible d’Emotet !

N’hésitez pas vérifier que votre mail n’est pas dans la base de données du malware sur https://www.haveibeenemotet.com/

Revenez plus tard pour plus de contenu
Catégories
Sécurité

Des youtubeurs piratés, le nouveau fléau qui agite la toile

Des youtubeurs piratés, le nouveau fléau qui agite la toile

Des youtubeurs piratés, le nouveau fléau qui agite la toile

Depuis quelques mois de nombreux créateurs de contenus présents sur la plateforme YouTube se sont vus frapper par des cyberattaques. Les pirates ciblent en priorité d’importantes chaînes et utilisent bien souvent le « Phishing », qui reste la méthode la plus plébiscitée.

Les attaques 

Le pirate se fait passer pour une entreprise souhaitant nouer un partenariat avec un youtubeur ayant une forte visibilité sur la plateforme. Cette dernière lui fait parvenir, via mail, une proposition de sponsoring de logiciel à partager au travers des publicités de la chaîne YouTube. Le pirate fait parvenir à sa victime 2 fichiers, censés être le dit logiciel, avec l’extension « .exe » à télécharger.

Une fois le téléchargement des fichiers effectué, le youtubeur clique sur les fichiers fournis. Ces deux fichiers émettent un message d’erreur et implantent en arrière-plan le logiciel malveillant sur la machine de la victime.

Le virus permet de passer outre la double authentification requise par le site, en passant par les cookies du navigateur et change le numéro de téléphone associé au compte YouTube.

Dans les heures qui suivent, la chaîne est complétement modifiée à commencer par son nom, puis l’ensemble des vidéos postées passent en mode privée. Le pirate ajoute du nouveau contenu vidéo sans intérêt avec publicités et modifie le « wallet » afin de récupérer l’argent généré par les nouvelles vidéos.

Il n’est pas rare de voir ces chaînes YouTube subtilisées et remaquillées mises en vente sur le darkweb avec une option d’achat en Bitcoins.

Le constat

Les pirates se diversifient de plus en plus dans le choix de leurs cibles. En revanche le « Phishing » ou « Spear Phishing », reste le type d’attaque le plus recensé malgré la présence de nombreuses solutions sur le marché permettant de les contrer.

Enfin, il est important de savoir qu’une fois la chaîne usurpée et revendue, la procédure pour récupérer les droits sur celle-ci reste, à ce jour, un parcours complexe et parfois décourageant pour la victime.

Écrit par notre Head of IT – Christopher Mogis

Revenez plus tard pour plus de contenu
Catégories
Sécurité

Sécurité – Deux failles de sécurité 0-day exploitées dans Windows

Sécurité – Deux failles de sécurité 0-day exploitées dans Windows

Sécurité – Deux failles de sécurité 0-day exploitées dans Windows

Deux nouvelles failles de sécurité ont été découverte dans Windows et notifiée dans le bulletin ADV200006 | Vulnérabilité d’exécution de code à distance dans l’analyse de polices de type 1

Pour Windows 10, peu d’impact car plusieurs corrections ont déjà été apporté. Par contre, pour les versions antérieurs, il est possible de subir des attaques par exécution de code.

Microsoft n’a pas encore mis de patch à disposition mais il propose des solutions de contournement 🙂

Vous pouvez retrouver toutes les informations de ce bulletin de sécurité à cette adresse : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006

Revenez plus tard pour plus de contenu
Catégories
Sécurité

Sécurité – Clap de fin pour Remote Desktop Connection Manager (CVE-2020-0765)

Sécurité – Clap de fin pour Remote Desktop Connection Manager (CVE-2020-0765)

Sécurité - Clap de fin pour Remote Desktop Connection Manager (CVE-2020-0765)

Microsoft a récemment constaté une faille de sécurité majeure dans son logiciel Microsoft Remote Desktop Connection Manager.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire des fichiers arbitraires via une déclaration d’entité externe XML. Pour exploiter cette vulnérabilité, un attaquant pourrait créer un fichier RDG contenant du contenu XML spécialement conçu et convaincre un utilisateur authentifié d’ouvrir le fichier.
Par conséquent Microsoft a décidé de mettre fin au produit et demande aux utilisateurs de passer par la fonction intégrée à Windows : MSTSC (Connection Bureau à distance)

Revenez plus tard pour plus de contenu