learn.hack.repeat

Catégorie : Sécurité Page 1 of 26

Le groupe cybercriminel chinois Earth Krahang porte atteinte à la sécurité de 70 organisations dans 23 pays

Une campagne de cyberespionnage avancée attribuée au groupe cybercriminel chinois Earth Krahang a porté atteinte à la sécurité de 70 organisations dans le monde, y compris des ministères des affaires étrangères et d’autres agences gouvernementales, en déployant un arsenal sophistiqué d’outils pour compromettre des infrastructures clés et récolter des informations sensibles.

Ce groupe a utilisé des techniques avancées telles que l’exploitation de vulnérabilités dans des serveurs exposés à Internet, des emails de spear-phishing et des attaques par force brute pour installer des portes dérobées personnalisées et mener des activités de cyber-espionnage.

Les attaquants ont spécifiquement exploité des vulnérabilités telles que CVE-2023-32315 et CVE-2022-21587 pour accéder à des réseaux compromis et y persister. En outre, ils ont utilisé des emails de spear-phishing à thème géopolitique pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens, ce qui facilite l’installation de logiciels malveillants et l’extraction ultérieure d’informations.

Une fois dans le réseau, Earth Krahang a utilisé des infrastructures compromises pour héberger des charges utiles malveillantes, rediriger le trafic d’attaque et utiliser des comptes de messagerie gouvernementaux piratés pour cibler d’autres gouvernements ou contacts avec des courriels de spear-phishing. Dans un cas notoire, ils ont utilisé un compte de courrier électronique compromis d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité.

Chaîne d’infection d’une attaque de spear-phishing de Earth Krahang (voir la section ATT&CK de MITRE pour plus de détails sur chaque identifiant de technique).
Source: trendmicro.com

Compte tenu de la sophistication et de l’ampleur de la campagne Earth Krahang, il est vivement conseillé aux organisations gouvernementales et aux autres entités cibles potentielles de rester vigilantes face à toute activité suspecte sur leurs systèmes. Dans ce contexte, la mise en œuvre des mises à jour de sécurité en temps opportun devient un pilier essentiel. En outre, la sensibilisation des employés aux risques inhérents à l’ingénierie sociale et aux attaques de spear-phishing, associée à l’adoption de mesures d’authentification multifactorielle, sont des stratégies clés pour atténuer le risque de compromission.

Dans ce scénario, la collaboration avec des partenaires de confiance spécialisés dans la protection contre les cybermenaces peut fournir une couche de sécurité supplémentaire. Des entreprises comme Swisscom, qui ont fait leurs preuves en matière de détection et de réponse aux menaces numériques, proposent des solutions qui peuvent être cruciales pour anticiper, identifier et neutraliser les attaques avant qu’elles n’affectent les opérations critiques. L’utilisation de leurs services de protection contre les cybermenaces n’est pas seulement une mesure proactive, mais aussi un investissement dans la continuité et la résilience des opérations face à l’adversité dans le cyberespace.

Plus d’information:
https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
https://nvd.nist.gov/vuln/detail/CVE-2023-32315

Microsoft confirme le problème de Windows Server à l’origine des pannes de contrôleurs de domaine

Une fuite de mémoire introduite avec les mises à jour de sécurité Windows Server de mars 2024 provoque le plantage et le redémarrage de certains contrôleurs de domaine, selon de nombreux rapports d’administrateurs Windows.

Source: Microsoft

Cette situation dure depuis un certain temps, depuis qu’en décembre 2022, Microsoft a résolu une autre fuite de mémoire LSASS affectant les contrôleurs de domaine. Après l’installation des mises à jour de Windows Server publiées lors du Patch Tuesday de novembre 2022, les serveurs concernés se figeaient et redémarraient. En outre, en mars 2022, Microsoft a corrigé une autre panne LSASS qui provoquait des redémarrages inattendus des contrôleurs de domaine Windows Server.

Points importants :

  • Microsoft a confirmé qu’une fuite de mémoire introduite avec les mises à jour de sécurité de Windows Server de mars 2024 provoque le blocage des contrôleurs de domaine Windows.
  • De nombreux rapports d’administrateurs Windows indiquent que les mises à jour de mars 2024 provoquent le plantage et le redémarrage de certains contrôleurs de domaine.
  • La fuite de mémoire dans le processus Local Security Authority Subsystem Service (LSASS) affecte les serveurs, provoquant des pannes et des redémarrages inattendus.
  • Microsoft a identifié le problème et travaille à sa résolution.
  • En attendant, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine et Microsoft a publié des mises à jour d’urgence pour résoudre ce problème.

Microsoft publie un correctif pour les pannes de Windows Server

En attendant que Microsoft publie un correctif pour ce grave problème de fuite de mémoire, et s’ils ne sont pas disposés à surveiller l’utilisation de la mémoire des systèmes concernés et à les redémarrer si nécessaire, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine.

Le service d’assistance de Microsoft nous a recommandé de désinstaller la mise à jour pour le moment

Comme de nombreux administrateurs l’ont signalé, après l’installation des mises à jour Windows Server KB5035855 et KB5035857 publiées ce Patch Tuesday, les contrôleurs de domaine équipés des dernières mises à jour se bloquent et redémarrent en raison d’une utilisation accrue de la mémoire LSASS.

Pour supprimer ces mises à jour problématiques, il est recommandé d’ouvrir une invite de commande à partir du menu Démarrer en tapant « cmd », en cliquant avec le bouton droit de la souris sur l’application Invite de commande et en cliquant sur « Exécuter en tant qu’administrateur ».

Ensuite, en fonction de la mise à jour que vous avez installée sur les contrôleurs de domaine concernés, exécutez l’une des commandes suivantes:

wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035849
wusa /uninstall /kb:5035857

Une fois la désinstallation effectuée, pensez à aller dans « Afficher ou masquer les mises à jour » pour masquer la mise à jour défectueuse afin qu’elle n’apparaisse plus dans la liste des mises à jour disponibles.

Plus d’information:

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes/
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/bc-p/4088764/highlight/true#M38300
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kusp4bs/
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kvlf7ed/

Plus de 100 modèles IA/ML malveillants découverts dans Hugging Face

Les logiciels malveillants ont un nouveau vecteur à la mode : les grands modèles de langage (LLM) distribués gratuitement. La popularisation de l’intelligence artificielle a attiré l’attention des créateurs de logiciels malveillants. Distribués sur des sites tels que Hugging Face, les modèles sous licence libre sont accessibles à tous et n’importe qui peut publier un modèle ou un dérivé d’un modèle populaire.

Source: pexels.com

Des chercheurs de JFrog ont découvert de nombreux modèles de langage (LLM) compromis par des virus informatiques sur Hugging Face. Ils ont notamment identifié un modèle malveillant qui utilisait un pickle (une façon de sauvegarder des objets dans un fichier) pour insérer un reverse shell (un outil de contrôle à distance) qui s’activait au moment où le modèle était utilisé avec PyTorch, un logiciel de machine learning. Des problèmes similaires ont été trouvés avec des modèles destinés à TensorFlow, qui est un autre outil important dans ce domaine.

Ces modèles ont été conçus pour exécuter un code malveillant en chargeant des fichiers pickle, ce qui compromet la sécurité des systèmes qui les mettent en œuvre.

Les modèles malveillants, qui se faisaient passer pour des modèles légitimes, pouvaient exécuter un code caché lorsqu’ils étaient téléchargés par les utilisateurs, ce qui permettait aux attaquants d’obtenir un shell sur les machines compromises et d’en prendre le contrôle total. Ce type d’attaque, connu sous le nom d’exécution de code à distance (RCE), utilise des fichiers pickle malveillants comme vecteur d’attaque. La plateforme Hugging Face, réputée pour sa vaste bibliothèque de modèles d’IA/ML, est donc affectée par un fort impact sur la sécurité de ses utilisateurs.

Pour limiter les risques, il est conseillé aux utilisateurs d’être extrêmement prudents lors du téléchargement et de l’installation des modèles Hugging Face, d’examiner attentivement les modèles avant leur déploiement et d’utiliser des solutions de sécurité capables de détecter et de bloquer les fichiers malveillants.

Cet incident souligne l’importance de la cybersécurité dans le domaine de l’IA/ML et la nécessité pour les utilisateurs d’être informés des risques associés à l’utilisation de modèles open source. Il est essentiel de prendre des mesures préventives pour protéger les systèmes et les informations précieuses.

Ces incidents nous rappellent l’importance cruciale de l’AML (Apprentissage Automatique Adversarial), qui vise à élaborer des méthodes pour attaquer et défendre les modèles d’IA. Ce domaine nous montre combien il est nécessaire d’avoir des protections solides pour maintenir la sûreté de ces systèmes. L’AML crée des stratégies comme l’empoisonnement de données, les techniques d’évasion, et les attaques par rétropropagation pour tester et renforcer la sécurité des modèles d’IA. L’objectif est d’éviter que les performances des modèles soient diminuées ou que leurs prédictions soient altérées. En réponse, des tactiques de défense, telles que la détection des anomalies et le renforcement des modèles, sont mises en place pour prévenir ces dangers. Détecter rapidement les comportements suspects et concevoir des modèles plus robustes face aux tentatives de manipulation est vital pour se protéger contre les menaces, y compris celles concernant la sécurité financière comme la lutte contre le blanchiment d’argent.

Il est vital de connaître les faiblesses des modèles de ML et de développer des défenses efficaces contre les attaques adverses. Avec l’évolution de l’AML, il est de plus en plus important pour les développeurs d’adopter des stratégies de sécurité avancées pour préserver l’intégrité de leurs modèles.

Plus d’information:
https://fr.wikipedia.org/wiki/Grand_mod%C3%A8le_de_langage
https://fr.wikipedia.org/wiki/PyTorch
https://fr.wikipedia.org/wiki/TensorFlow
https://huggingface.co/docs/hub/security-pickle
https://jfrog.com/blog/data-scientists-targeted-by-malicious-hugging-face-ml-models-with-silent-backdoor/
https://www.vaadata.com/blog/fr/rce-remote-code-execution-exploitations-et-bonnes-pratiques-securite/

La Cour européenne dit non à la création d’une porte dérobée pour accéder aux messageries chiffrées

La Cour européenne des droits de l’homme (CEDH) a statué que les lois exigeant un chiffrement affaibli et une conservation extensive des données constituent une violation du droit au respect de la vie privée en vertu de la Convention européenne des droits de l’homme. Cette décision pourrait faire dérailler la législation européenne sur la surveillance des données, connue sous le nom de Chat Control.

Source: Wikipedia

La législation contestée prévoyant la conservation de toutes les communications Internet de tous les utilisateurs, l’accès direct des services de sécurité aux données stockées sans garanties adéquates contre les abus et l’obligation de décrypter les communications cryptées, telle qu’elle s’applique aux communications chiffrées de bout en bout, ne peut être considérée comme nécessaire dans une société démocratique.

décision de La cour rendue mardi

Les gouvernements peuvent légiférer pour que les sociétés de télécommunications et de messagerie conservent temporairement les communications électroniques des citoyens, mais l’accès au contenu de ces communications « à grande échelle et sans garanties suffisantes porte atteinte à l’essence même du droit au respect de la vie privée consacré par l’article 8 de la Convention européenne des droits de l’homme ».

La législation contestée mentionnée ci-dessus concerne un recours en justice qui a débuté en 2017 après que le Service fédéral de sécurité (FSB) de Russie a exigé que le service de messagerie Telegram fournisse des informations techniques pour aider au déchiffrement des communications d’un utilisateur. Le plaignant, Anton Valeryevich Podchasov, a contesté l’ordonnance en Russie, mais sa demande a été rejetée.

En 2019, M. Podchasov a porté l’affaire devant la Cour européenne des droits de l’homme. La Russie a adhéré au Conseil de l’Europe, une organisation internationale de défense des droits de l’homme, en 1996 et en est restée membre jusqu’à son retrait en mars 2022 à la suite de son invasion illégale de l’Ukraine. L’affaire de 2019 étant antérieure au retrait de la Russie, la Cour européenne des droits de l’homme a poursuivi l’examen de la question.

La Cour a conclu que la loi russe imposant à Telegram de « décrypter les communications chiffrées de bout en bout risque de constituer une obligation pour les fournisseurs de tels services d’affaiblir le mécanisme de chiffrement pour tous les utilisateurs ». En tant que telle, la Cour considère qu’une telle exigence est disproportionnée par rapport à la réalisation d’objectifs légitimes de maintien de l’ordre.

Bien qu’il soit peu probable que la décision de la Cour européenne des droits de l’homme affecte la Russie, elle est pertinente pour les pays européens qui envisagent d’adopter des lois similaires sur le déchiffrement, telles que Chat Control et la loi sur la sécurité en ligne du gouvernement britannique.

Patrick Breyer, membre du Parlement européen pour le Parti Pirate, a salué la décision qui démontre que le Chat Control est incompatible avec le droit européen.

Avec cette décision historique, la surveillance par balayage côté client de tous les smartphones proposée par la Commission européenne dans son projet de loi sur le contrôle du chat est clairement illégale.

a déclaré M. Breyer.

Elle détruirait la protection de toutes les personnes au lieu d’enquêter sur les suspects. Les gouvernements de l’UE n’auront pas d’autre choix que de retirer la destruction du cryptage sécurisé de leur position dans cette proposition, ainsi que la surveillance indiscriminée des communications privées de l’ensemble de la population.

Chat Control est un raccourci pour la législation européenne sur la surveillance des données qui exigerait que les fournisseurs de services Internet analysent les communications numériques à la recherche de contenu illégal, en particulier de matériel pédopornographique et d’informations potentiellement liées au terrorisme. Pour ce faire, il faudrait nécessairement affaiblir le chiffrement qui préserve la confidentialité des communications. Malgré la condamnation générale des universitaires, des organisations de défense de la vie privée et des groupes de la société civile, des efforts ont été déployés depuis plusieurs années et se poursuivent encore aujourd’hui pour élaborer des règles réalistes.

Plus d0information:
https://www.theregister.com/2024/02/15/echr_backdoor_encryption/
https://www.echr.coe.int/documents/d/echr/Convention_SPA
https://fr.eureporter.co/world/human-rights-category/european-court-of-human-rights-echr/2024/02/14/european-court-of-human-rights-bans-weakening-of-secure-end-to-endencryption-the-end-of-eus-chat-control-csar-mass-surveillance-plans/

LockBit : le plus grand groupe de ransomwares démantelé lors d’une opération multinationale

Dans le cadre d’une opération internationale conjointe, les forces de l’ordre ont saisi plusieurs domaines du darknet exploités par le groupe de ransomware LockBit, connu pour être l’un des plus prolifiques. L’opération, baptisée « Opération Cronos », a impliqué les autorités de 11 pays et a été menée en exploitant une vulnérabilité critique de PHP.

Le site web lié au groupe de ransomware LockBit est sous le contrôle des forces de l’ordre de 11 pays dans le cadre d’une opération internationale qui a permis de démanteler une partie de son infrastructure. La National Crime Agency (NCA) du Royaume-Uni a dirigé l’opération « Cronos » avec l’aide d’Europol et d’Eurojust. Bien que l’ampleur de l’opération soit inconnue, la visite du site .onion du groupe affiche une bannière de saisie avec le message suivant : « Le site est maintenant sous le contrôle des forces de l’ordre ».

Les autorités de 11 pays (Allemagne, Australie, Canada, États-Unis, Finlande, France, Japon, Pays-Bas, Royaume-Uni, Suède et Suisse, ainsi qu’Europol) ont participé à l’exercice conjoint.

Dans un message posté sur X (Twitter), le groupe de recherche sur les logiciels malveillants VX-Underground a déclaré que les sites ont été mis hors service par l’exploitation d’une vulnérabilité de sécurité critique affectant PHP (CVE-2023-3824, CVSS score : 9.8) qui pourrait entraîner l’exécution de code à distance.

Lockbit : groupe de ransomware

LockBit, apparu le 3 septembre 2019, a été l’un des groupes de de ransomwares les plus actifs et les plus notoires de l’histoire, faisant plus de 2000 victimes. On estime qu’il a extorqué au moins 91 millions de dollars à des organisations américaines uniquement. Selon les données communiquées par la société de cybersécurité ReliaQuest, LockBit a répertorié 275 victimes sur son portail de violation de données au cours du quatrième trimestre 2023, dépassant de loin tous ses concurrents. Il n’y a pas encore eu d’arrestations ou de sanctions. Toutefois, ce développement porte un coup définitif aux opérations à court terme de LockBit et intervient deux mois après que le gouvernement américain a démantelé l’opération de ransomware BlackCat.

Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes.

Graeme Biggar, directeur général de la NCA

À partir d’aujourd’hui, LockBit est bloqué. Nous avons porté atteinte aux capacités et, surtout, à la crédibilité d’un groupe qui s’appuyait sur le secret et l’anonymat. LockBit peut essayer de reconstruire son entreprise criminelle. Cependant, nous savons qui ils sont et comment ils opèrent.

Graeme Biggar, directeur général de la NCA

Ils ont laissé une note sur le panneau d’affiliation, indiquant qu’ils avaient « le code source, des détails sur les victimes que vous avez ciblées, la somme d’argent extorquée, les données volées, les chats et bien plus encore », ajoutant que cela avait été rendu possible grâce à « l’infrastructure défectueuse » de LockBit.

La NCA s’est engagée à contacter les victimes britanniques afin qu’elles puissent utiliser les clés pour lesquelles elles devraient être ajoutées à la page No More Ransom surveillée par Europol. Les victimes d’attaques pourront utiliser cette ressource pour découvrir les dernières clés de décryptage de LockBit. Les victimes de ce logiciel malveillant sont invitées à contacter le FBI à l’adresse https://lockbitvictims.ic3.gov/ afin de permettre aux autorités de déterminer si les systèmes affectés peuvent être décryptés avec succès.

Plus d’information:
https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
https://en.wikipedia.org/wiki/Lockbit
https://twitter.com/vxunderground/status/1759732862335504773
https://nvd.nist.gov/vuln/detail/CVE-2023-3824

Page 1 of 26

Fièrement propulsé par WordPress & Thème par Anders Norén