Catégorie : Sécurité Page 8 of 26

Hive Ransomware extorque 1300 entreprises

On 21/11/2022

Le monde évolue, et les créateurs de logiciels malveillants n’en font pas moins, au point que l’on parle déjà dans le monde de « Ransomware-as-a-service » (Raas), le moyen qu’ils ont de monétiser leurs activités criminelles. Dans ce cas, Hive Ransomware extorque de l’argent à 1 300 entreprises.

Le modus operandi de cette activité illicite consiste à détourner un ordinateur en exploitant une vulnérabilité, qu’elle soit logicielle ou humaine, puis à exiger une rançon pour débloquer ce détournement si la victime veut que son ordinateur fonctionne à nouveau.

Lorsque la machine est infectée, le logiciel malveillant crée un document dans lequel il guide la victime sur la manière de récupérer sa machine, étape par étape, bien sûr, pour effectuer un paiement. Cela ressemble à ce qui suit:

Aujourd’hui, une attaque a cours dans laquelle Hive Ransomware extorque 1300 entreprises dans le monde entier, collectant 100 millions de dollars rien qu’en novembre 2022. Ces paiements sont totalement illicites.

Selon les services de renseignement américains, la cible de l’attaque n’a pas été filtrée, touchant tout type d’acteur, des entreprises d’infrastructure aux entreprises de soins de la santé, ce qui permet de constater l’ampleur et la criticité de l’attaque.

Le point d’exploitation semble avoir été des failles de sécurité dans le ProxyShell de Microsoft Exchange Server.

En plus de cette faille de sécurité, il existe également des contournements de moteurs antivirus ainsi que certaines mesures de sécurité de Windows.

Selon l’Agence pour la cybersécurité, les infrastructures et la sécurité (CISA), les acteurs qui ont restauré des systèmes sans paiement ont été réinfectés.

Plus d’information:
https://thehackernews.com/2022/11/hive-ransomware-attackers-extorted-100.html
https://www.cisa.gov/uscert/sites/default/files/publications/aa22-321a_joint_csa_stopransomware_hive.pdf

Microsoft corrige de graves problèmes d’authentification Windows Kerberos

de jabot

On 18/11/2022

dans Sécurité

Récemment, Microsoft a publié des mises à jour facultatives pour corriger un problème qui provoque des échecs d’ouverture de session Kerberos et d’autres problèmes dans les contrôleurs de domaine d’entreprise Windows après l’installation des mises à jour cumulatives, publiées au cours du mois de novembre.

« Après l’installation des mises à jour du 8 novembre 2022 ou d’une version ultérieure sur les serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l’authentification Kerberos. » « Lorsque ce problème est rencontré, vous pouvez recevoir un événement d’erreur Microsoft-Windows-Kerberos-Key-Distribution-Key-Distribution-Center Event ID 14 dans la section Système du journal des événements sur votre contrôleur de domaine avec le texte suivant. »
Microsoft

Les scénarios d’authentification Kerberos concernés :

La connexion de l’utilisateur du domaine peut échouer. Cela pourrait également affecter l’authentification Active Directory Federation Services (AD FS).
Les comptes de service gérés par le groupe utilisés pour des services tels que les services d’information Internet (IIS Web Server) peuvent échouer à l’authentification.
Les connexions de bureau à distance utilisant des utilisateurs de domaine peuvent échouer.
Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les postes de travail et aux partages de fichiers sur les serveurs.
L’impression qui nécessite une authentification de l’utilisateur du domaine peut échouer.

Publication d’un correctif pour les versions de Windows concernées

Les mises à jour OOB publiées sont uniquement disponibles via le catalogue Microsoft Update et ne seront pas proposées via Windows Update.

Redmond a publié des mises à jour cumulatives à installer sur les contrôleurs de domaine (aucune action n’est nécessaire du côté client) :

Windows Server 2022 : KB5021656
Windows Server 2019 : KB5021655
Windows Server 2016 : KB5021654

Microsoft a également publié des mises à jour autonomes qui peuvent être importées dans Windows Server Update Services (WSUS) et Microsoft Endpoint Configuration Manager :

Windows Server 2012 R2 : KB5021653
Windows 2012 Server : KB5021652
Windows 2008 Server SP2 : KB5021657

Cependant, il reste encore une plateforme à corriger, à savoir Windows Server 2008 R2 SP1. Selon Redmond, il devrait recevoir une mise à jour dédiée dans le courant de la semaine prochaine.

Plus d’information:
https://support.microsoft.com/en-us/topic/november-8-2022-security-update-kb5019081-4e51dca6-695b-4578-abf2-852cacea2d77
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-kerberos-auth-issues-in-emergency-updates/

De fausses versions de KeePass et SolarWinds distribuant le RAT RomCom ont été détectées

de jabot

On 04/11/2022

dans Malware, Sécurité

Les développeurs du RAT RomCom mènent une nouvelle campagne d’attaque en se faisant passer pour les marques SolarWinds, KeePass et PDF Technologies.

Source: https://digitalartcollector.com/neon3000/

Les cibles de l’opération sont des victimes en Ukraine et dans certains pays anglophones, comme le Royaume-Uni.

« Compte tenu de la géographie des cibles et de la situation géopolitique actuelle, il est peu probable que les développeurs du RomCom RAT soient motivés par la cybercriminalité », indique l’équipe de renseignement sur les menaces de BlackBerry dans une nouvelle analyse.

Ces dernières découvertes interviennent une semaine après la découverte d’une campagne de spear-phishing. Cela visait des entités ukrainiennes dans le but de déployer un RAT.

L’attaquant a également été observé en train d’utiliser des variantes trojanisées de « Advanced IP Scanner » et « pdfFiller » comme droppers pour distribuer le malware.

Les derniers développements de la campagne ont impliqué la création de pages de phishing avec un nom de domaine similaire, suivie du téléchargement d’un paquet d’installation de logiciels malveillants. Enfin, des e-mails de phishing sont envoyés à la victime.

Une fois que le keepass trojanisé est téléchargé, les fichiers suivants sont trouvés.

Setup.exe: Le fichier qui lance le dropper RomCom RAT : PDB C:\Usersersource123.pdb
hlpr.dat: Il s’agit d’un dropper RAT de RomCom.

Les attaquants derrière RomCom déploient activement de nouvelles campagnes visant des victimes en Ukraine et des cibles anglophones dans le monde entier. Il est possible que les victimes britanniques soient une nouvelle cible, tandis que l’Ukraine reste le principal centre d’intérêt.

Plus d’information:
https://blogs.blackberry.com/en/2022/11/romcom-spoofing-solarwinds-keepass

OpenSSL

de jabot

On 02/11/2022

dans CVE, Sécurité

La faille OpenSSL, qui a fait couler beaucoup d’encre, a été rétrogradée de critique à haute. C’est avec ce particulier « trick or treat » qu’une vulnérabilité dans OpenSSL a semblé effrayer plus d’un administrateur système (à une époque particulièrement propice aux histoires d’horreur). Les failles sont les CVE-2022-3786 et CVE-2022-3602. Certains ont tenté de l’appeler SpookySSL et de le comparer à Heartbleed… sans grand succès.

Heureusement, le bug n’était pas si grave. Cependant, il reste d’une grande importance et peut conduire à une exécution de code arbitraire ou à un déni de service dans certaines conditions.

Le bug était un « off-by-one » dans la fonction « ossl_punycode_decode » causé par une expression de comparaison arithmétique. En fait, l’opérateur « > » a été remplacé par « >= ». Cette absence de comparaison avec les « égaux » permet d’écrire 4 octets de mémoire de pile via un domaine internationalisé (avec punycode) dans le champ e-mail d’un certificat numérique.

Un correctif existe déjà et de nombreux projets ont pu diffuser des mises à jour avant que les détails ne soient publiés. L’exploitation, cependant, n’est pas simple. Bien que ce soit un défi de faire tenir quelque chose de productif dans 4 octets, le certificat numérique doit être signé ou accepté par l’utilisateur s’il ne provient pas d’une autorité de certification connue.

Plus d’information:
https://www.openssl.org/news/secadv/20221101.txt

BlueBleed : nouvelle fuite de donnée chez Microsoft

de jabot

On 24/10/2022

dans Data Leak, Phishing, Sécurité

Microsoft a signalé que les informations confidentielles de certains de ses clients ont été exposées par une mauvaise configuration accessible via Internet.

La mauvaise configuration du serveur a été découverte par la société de renseignement sur les menaces de sécurité SOCRadar, qui a averti la société américaine le 24 septembre 2022, laquelle a sécurisé le serveur concerné dès la notification.

« Cette mauvaise configuration a entraîné un accès potentiel non authentifié à certaines données de transactions commerciales se rapportant à des interactions entre Microsoft et des clients potentiels, telles que la planification ou la mise en œuvre et la fourniture potentielles de services Microsoft. »
Déclarations de l’entreprise

Ils ont également ajouté que leur enquête interne n’a trouvé aucune indication que les comptes ou les systèmes des clients avaient été compromis et que les clients concernés avaient été informés directement.

Selon l’entreprise américaine, les informations exposées comprennent des noms, des adresses électroniques, le contenu des courriels, le nom de l’entreprise et des numéros de téléphone, ainsi que des fichiers liés aux affaires entre les clients concernés et Microsoft ou un partenaire Microsoft autorisé.

Redmond a ajouté que la fuite était due à une « mauvaise configuration involontaire sur un terminal qui n’est pas utilisé dans l’ensemble de l’écosystème Microsoft » et non à une faille de sécurité.

65 000 entités touchées dans le monde

De son côté, SOCRadar nuance encore et ajoute que, d’après son analyse, les données divulguées :

« Il s’agit notamment de documents de preuve d’exécution (PoE) et de déclaration de travaux (SoW), d’informations sur les utilisateurs, de commandes/de devis de produits, de détails de projets, de données PII (informations personnellement identifiables) et de documents susceptibles de révéler une propriété intellectuelle. »
SOCRadar

Outil en ligne pour rechercher des données ayant fait l’objet d’une fuite. Source: SOCradar

Les chercheurs ont baptisé cette fuite « BlueBleed », en référence aux informations sensibles divulguées par les magasins de données mal configurés dans leur ensemble, et ont créé un site web portant le même nom.

Vérifiez si vous êtes concerné par la fuite de Microsoft

Le portail de recherche de fuites de données de SOCRadar s’appelle BlueBleed et permet aux entreprises de savoir si leurs informations confidentielles ont également été exposées avec les données ayant fait l’objet de la fuite.

En plus de ce qui a été trouvé à l’intérieur du serveur mal configuré de Microsoft, BlueBleed permet également de rechercher des données collectées dans cinq autres buckets de stockage public.

Sur le seul serveur de Microsoft, SOCRadar affirme avoir trouvé 2,4 To de données contenant des informations sensibles de plus de 65 000 entreprises de 111 pays, plus de adresses emails, 133 000 projets et 548 000 utilisateurs exposés découverts en analysant les fichiers ayant fait l’objet de la fuite jusqu’à présent.

« Les acteurs de la menace qui ont pu accéder au référentiel peuvent utiliser ces informations de différentes manières pour extorquer, faire du chantage, créer des tactiques d’ingénierie sociale à l’aide des informations exposées ou simplement vendre les informations au plus offrant sur le dark web et les canaux Telegram », avertit SOCRadar.

Plus d’information:
https://socradar.io/labs/bluebleed
https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/