learn.hack.repeat

Catégorie : Uncategorized

The Condor : L’Artiste de la Sécurité Informatique qui a redéfini le Jeu

L’univers de la sécurité informatique a récemment perdu l’un de ses pionniers les plus influents : Kevin Mitnick. Cet homme extraordinaire a laissé derrière lui un héritage qui continue d’inspirer et d’éduquer, et j’ai eu la chance de m’entretenir avec lui lors d’une interview avec un groupe d’étudiants pendant mes années d’études. À travers ces souvenirs précieux, je souhaite rendre hommage à un géant de la cybersécurité qui a révolutionné notre compréhension des technologies numériques.

Kevin Mitnick, souvent qualifié de « hacker le plus recherché d’Amérique », a été un individu exceptionnel qui a su transcender les étiquettes et les stéréotypes. Ses débuts controversés ont été suivis d’une transformation impressionnante, alors qu’il choisissait de mettre son expertise au service du bien commun en devenant un défenseur de la sécurité informatique.

Publication du US Marshall pour l’arrestation de Kevin Mitnick

Lors de mon interview avec lui, j’ai été émerveillé par la manière dont il a partagé ses connaissances et son expérience. Ses récits captivants de « hacking » éthique et ses analyses perspicaces des failles de sécurité nous ont tous inspirés et éclairés. Il nous a montré comment la compréhension approfondie des systèmes informatiques peut être utilisée pour renforcer leur protection.

Kevin Mitnick était bien plus qu’un expert technique. Sa capacité à comprendre la psychologie humaine et à exploiter les vulnérabilités sociales a été une leçon précieuse pour tous ceux qui l’ont écouté. Ses anecdotes ont illustré la manière dont le « hacking » peut être utilisé pour sensibiliser et éduquer plutôt que pour causer des dommages.

« L’art de la supercherie » de Kevin Mitnick est, à ce jour encore, l’une des références en matière d’ingénierie sociale.

La nouvelle de son décès récent a été un coup dur pour la communauté de la sécurité informatique. En publiant cet article, je souhaite honorer la mémoire de Kevin Mitnick et rappeler l’impact durable qu’il a laissé derrière lui.

Extrait du film « Cybertraque »

Bien que Kevin Mitnick ne soit plus parmi nous, sa passion et son expertise continueront d’inspirer et d’éclairer le monde de la cybersécurité. En nous appuyant sur ses enseignements, nous pouvons renforcer notre engagement envers un cyberespace plus sûr et plus éclairé pour les générations futures. Kevin Mitnick a marqué son époque et continuera d’inspirer ceux qui se consacrent à la protection des technologies numériques.

Plus d’information:
https://fr.wikipedia.org/wiki/Kevin_Mitnick
https://www.payot.ch/Detail/lart_de_la_supercherie-kevin_mitnick-9782744018589?cId=0
https://www.youtube.com/watch?v=1Obyy_qfvak

Windwos Defender Application Guard

Microsoft lance Windows Defender Application Guard pour protéger les utilisateurs contre les attaques par navigateur

Source: Microsoft

Microsoft a récemment annoncé le lancement de Windows Defender Application Guard, une nouvelle fonctionnalité conçue pour protéger les utilisateurs contre les attaques par navigateur. Cette fonctionnalité est disponible pour les utilisateurs de Windows 10 Enterprise et permet de sécuriser la navigation sur Internet en utilisant un navigateur séparé et isolé pour accéder aux sites Web douteux ou potentiellement dangereux.

Les attaques par navigateur sont de plus en plus fréquentes et peuvent entraîner des dommages graves pour les utilisateurs, tels que la perte de données confidentielles, le vol d’identité et la propagation de logiciels malveillants. Pour lutter contre ces attaques, Microsoft a créé Windows Defender Application Guard, qui utilise la virtualisation pour isoler complètement le navigateur du système d’exploitation et des autres applications.

Lorsqu’un utilisateur accède à un site Web potentiellement dangereux, le navigateur s’ouvre automatiquement dans un environnement séparé et isolé, ce qui empêche toute attaque de compromettre le système d’exploitation ou les autres applications. De plus, les données saisies ou téléchargées lors de la navigation sur ces sites ne peuvent pas être enregistrées sur le système d’exploitation, ce qui minimise le risque de perte de données confidentielles.

Windows Defender Application Guard est facile à utiliser et ne nécessite aucune configuration supplémentaire pour les utilisateurs. La fonctionnalité est intégrée directement à Windows 10 Enterprise et peut être activée ou désactivée à tout moment par l’administrateur du système.

En plus de protéger les utilisateurs contre les attaques par navigateur, Windows Defender Application Guard offre également d’autres avantages, tels que la protection contre les téléchargements malveillants et la détection de logiciels malveillants en temps réel. De plus, la fonctionnalité est compatible avec d’autres solutions de sécurité pour renforcer la protection globale des systèmes d’exploitation Windows 10 Enterprise.

En conclusion, Windows Defender Application Guard est une solution innovante pour protéger les utilisateurs contre les attaques par navigateur. Avec sa capacité à isoler complètement le navigateur du système d’exploitation et à minimiser le risque de perte de données confidentielles, cette fonctionnalité offre une protection supplémentaire pour les utilisateurs de Windows 10 Enterprise. Microsoft continue de se concentrer sur la sécurité et d’innover pour offrir les meilleures solutions de protection pour ses utilisateurs.

Plus d’information:
https://learn.microsoft.com/fr-fr/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview

Azure AD Identity Protection

Microsoft lance une nouvelle fonctionnalité de sécurité pour Azure Active Directory : Azure AD Identity Protection

Source: Pexels

Microsoft a récemment annoncé le lancement d’Azure AD Identity Protection, une nouvelle fonctionnalité de sécurité pour Azure Active Directory. Cette fonctionnalité vise à renforcer la sécurité des identités en utilisant l’intelligence artificielle et l’apprentissage automatique pour détecter et empêcher les menaces en temps réel.

Les menaces pour la sécurité des identités sont en constante augmentation et peuvent entraîner des dommages graves pour les entreprises, tels que la perte de données confidentielles, le vol d’identité et la diffusion de logiciels malveillants. Pour lutter contre ces menaces, Microsoft a développé Azure AD Identity Protection, qui utilise l’intelligence artificielle pour analyser en temps réel les activités d’identification et détecter les anomalies.

Lorsqu’une anomalie est détectée, Azure AD Identity Protection envoie une notification à l’administrateur pour prendre des mesures appropriées. Les administrateurs peuvent également définir des politiques pour bloquer automatiquement les activités suspectes, telles que les connexions à partir d’emplacements géographiques inhabituels ou les modifications apportées aux informations d’identification.

Azure AD Identity Protection offre également des rapports détaillés sur les menaces détectées et les mesures prises pour les résoudre. Les administrateurs peuvent utiliser ces rapports pour évaluer les risques et améliorer la sécurité des identités au fil du temps.

En plus de renforcer la sécurité des identités, Azure AD Identity Protection offre également d’autres avantages, tels que la simplification de la gestion des comptes d’utilisateurs et la réduction des coûts liés à la gestion de la sécurité des identités. La fonctionnalité est facile à utiliser et peut être activée ou désactivée à tout moment par l’administrateur.

En conclusion, Azure AD Identity Protection est une solution innovante pour renforcer la sécurité des identités dans Azure Active Directory. Avec sa capacité à détecter et empêcher les menaces en temps réel, cette fonctionnalité offre une protection supplémentaire pour les utilisateurs de Azure Active Directory. Microsoft continue de se concentrer sur la sécurité et d’innover pour offrir les meilleures solutions de protection pour ses utilisateurs.

Plus d’information:
https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/overview-identity-protection

Comment exécuter un logiciel malveillant sur l’iPhone même s’il est éteint

Des chercheurs affirment avoir découvert un moyen d’exécuter des logiciels malveillants sur un iPhone en tirant parti des puces sans fil liées à Bluetooth pour manipuler et charger des logiciels malveillants même lorsque l’iPhone est éteint, tout cela grâce à la fonction Find My d’iOS.

L’exploit consiste à tirer parti de la relation Bluetooth qu’entretiennent certaines puces sans fil, la communication NFC et l’UWB, car ces éléments continuent de fonctionner même lorsque l’appareil est éteint en passant en mode faible consommation (LPM).

Si cela est fait pour permettre des fonctions telles que Find My et aussi pour faciliter les transactions par carte express, les trois puces sans fil ont un accès direct au Secure Element, selon les universitaires du Secure Mobile Networking Laboratory (SEEMOO) de l’Université technique de Darmstadt.

« Les puces Bluetooth et UWB sont connectées à l’élément sécurisé (SE) de la puce NFC, stockant des secrets qui devraient être disponibles dans le LPM« , expliquent les chercheurs.

« Le support LPM étant implémenté dans le matériel, il ne peut être supprimé en changeant les composants logiciels. Par conséquent, dans les iPhones modernes, on ne peut plus faire confiance aux puces sans fil pour s’éteindre après la mise hors tension. Cela pose un nouveau modèle de menace« .

Ces résultats seront présentés lors de la conférence ACM qui se tient cette semaine.

L’année dernière, l’arrivée d’iOS 15 a vu l’introduction des fonctionnalités LPM, qui permettent de retrouver des appareils perdus via Find My. Les appareils actuels qui prennent en charge l’ultra large bande sont l’iPhone 11, l’iPhone 12 et l’iPhone 13.

« L’iPhone est toujours localisable après que vous l’ayez éteint. Find My vous aide à localiser cet iPhone lorsqu’il est perdu ou volé, même s’il est en mode veille ou éteint« . Lorsque les iPhones sont éteints, ce message s’affiche.

Les chercheurs ont également découvert que le micrologiciel Bluetooth n’est ni signé ni chiffré.

En tirant parti de cette situation, un cybercriminel disposant d’un accès privilégié pourrait créer un logiciel malveillant capable de fonctionner sur la puce Bluetooth d’un iPhone, même si elle est désactivée.

Mais pour qu’un micrologiciel soit compromis, le cybercriminel doit être en mesure de communiquer avec le micrologiciel via le système d’exploitation, de modifier l’image du micrologiciel ou d’obtenir l’exécution de code sur une puce compatible LPM sans fil en exploitant des bugs tels que BrakTooth. L’idée principale est de modifier le fil de l’application LPM afin d’y intégrer un logiciel malveillant, ce qui lui permet de prendre le contrôle à distance de la victime.

« Au lieu de modifier les fonctionnalités existantes, ils pourraient également ajouter des fonctionnalités complètement nouvelles« , ont déclaré les chercheurs de SEEMO. Tout ceci a déjà été signalé à Apple, mais il n’y a toujours pas de réponse de la part de la société.

Les chercheurs du SEEMO ont demandé à Apple d’inclure une sorte de commutateur matériel pour pouvoir déconnecter la batterie et empêcher d’éventuelles attaques au niveau du microprogramme.

« Comme le support du LPM est basé sur le matériel de l’iPhone, il ne peut pas être supprimé avec les mises à jour du système« , notent les chercheurs. « Par conséquent, il a un effet durable sur le modèle de sécurité global d’iOS« .

« La conception des caractéristiques du LPM semble être motivée principalement par la fonctionnalité, sans tenir compte des menaces en dehors des applications prévues. Find My after power off, transforme les iPhones éteints en dispositifs de suivi par conception, et l’implémentation dans le firmware Bluetooth n’est pas sécurisée contre la falsification« .

Plus d’information:
https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html

Des attaques basées sur ProxyLogon et ProxyShell de plus en plus actives dans les campagnes de SPAM

L’équipe de recherche de Trend Micro a effectué une analyse sur une série d’intrusions au Moyen-Orient qui a abouti à la distribution d’un loader inédit baptisé SQUIRRELWAFFLE. Documentées pour la première fois par Cisco Talos, les attaques auraient commencé à la mi-septembre 2021 par le biais de documents Microsoft Office falsifiés.

ProxyLogon et ProxyShell font référence à un ensemble de failles dans les serveurs Microsoft Exchange qui pourraient permettre à un attaquant d’élever ses privilèges et d’exécuter du code arbitraire à distance, ce qui lui permettrait de prendre le contrôle des machines vulnérables. Alors que les failles de ProxyLogon ont été corrigées en mars, les failles de ProxyShell ont été corrigées dans une série de mises à jour publiées en mai et juillet.

Les vulnérabilités de Microsoft Exchange

Lors des analyses effectuées, des preuves des exploits CVE-2021-26855, CVE-2021-34473 et CVE-2021-34523 ont été obtenues dans les journaux IIS des serveurs Exchange qui ont été compromis dans les différentes intrusions. Les mêmes CVE ont été utilisés dans les intrusions ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473 et CVE-2021-34523). Microsoft a publié un correctif pour ProxyLogon en mars ; ceux qui ont appliqué les mises à jour de mai ou de juillet sont protégés contre les vulnérabilités de ProxyShell.

Courrier malveillant (SPAM)

La chaîne d’attaque consiste en des courriels frauduleux contenant un lien qui, lorsqu’on clique dessus, télécharge un fichier Microsoft Excel ou Word. En ouvrant le document, le destinataire active les macros, ce qui conduit finalement au téléchargement et à l’exécution du chargeur de malware SQUIRRELWAFFLE, qui permet d’obtenir des charges utiles en aval telles que Cobalt Strike et Qbot.

Source : Trend Micro

Dans les intrusions analysées, les en-têtes des courriels malveillants reçus provenaient de routes de messagerie internes (serveurs de messagerie internes), ce qui indique que les courriels ne provenaient pas d’un expéditeur, d’un courtier en messages ou d’une passerelle (MTA) externes.

Cette technique de distribution de courrier malveillant augmente considérablement les chances qu’un courrier électronique atteigne tous les utilisateurs du domaine de l’entreprise, ce qui réduit les chances de détecter ou d’arrêter l’attaque, car les passerelles de messagerie ne seront pas en mesure de filtrer ou de mettre en quarantaine ces courriers électroniques internes.

L’utilisation de cette technique marque une percée dans les campagnes de phishing où un attaquant a pénétré dans les serveurs de messagerie Microsoft Exchange de l’entreprise pour obtenir un accès non autorisé aux systèmes de messagerie internes et distribuer des courriels malveillants dans le but d’infecter les utilisateurs de l’entreprise avec des logiciels malveillants.

Les campagnes SQUIRRELWAFFLE doivent inciter les utilisateurs à se méfier des différentes tactiques utilisées pour masquer les e-mails et les fichiers malveillants. Les courriels provenant de contacts de confiance peuvent ne pas être suffisamment sécurisés et des mesures de protection doivent être mises en œuvre, et il convient de se méfier des liens et des pièces jointes.

Plus d’information:
https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html
https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34523

Fièrement propulsé par WordPress & Thème par Anders Norén