learn.hack.repeat

Le FBI prévient que le ransomware BlackByte cible les infrastructures critiques

de

On 15/02/2022

dans Chiffrement, Ransomware, Sécurité

Le FBI a révélé que le groupe de ransomware BlackByte a accédé au réseau d’au moins trois organisations appartenant aux secteurs des infrastructures critiques américaines au cours des trois derniers mois.

BlackByte est un groupe qui propose le service Ransomware as a Service (RaaS). Ils sont dédiés au chiffrement des fichiers compromis sur les machines Windows, y compris les serveurs physiques et virtuels.

Les agences de cybersécurité recommandent les mesures suivantes pour atténuer les attaques de BlackByte et de tout autre attaquant de logiciels aléatoires :

  • Mettez en place des sauvegardes régulières, de sorte que les sauvegardes se trouvent à un endroit différent et ne puissent pas être supprimées de la source de données d’origine.
  • Mettez en place une segmentation du réseau, en empêchant toutes les machines du réseau d’être accessibles depuis n’importe quelle autre machine.
  • Installez les mises à jour et les correctifs du système d’exploitation, des logiciels et des micrologiciels dès qu’ils sont publiés.
  • Examinez les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires pour détecter les comptes d’utilisateur nouveaux ou non reconnus.
  • Auditer les comptes d’utilisateurs disposant de privilèges d’administrateur et configurer les contrôles d’accès en tenant compte des privilèges minimums requis. N’accordez pas les privilèges d’administrateur à tous les utilisateurs.
  • Désactivez les ports d’accès à distance (RDP) inutilisés et surveillez les journaux d’accès à distance pour détecter toute activité inhabituelle.
  • Désactiver les liens hypertextes dans les courriers électroniques entrants.
  • Utilisez l’authentification à deux facteurs lorsque vous vous connectez à des comptes ou à des services.

Entre autres mesures, celles-ci sont faciles à mettre en œuvre et augmentent considérablement la sécurité de l’infrastructure.

Plus d’information:
https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/

Le jeton « God Mode » de Facebook pourrait être utilisé par des cybercriminels

de

On 14/02/2022

dans Sécurité

Utilisez-vous Facebook et avez-vous installé une extension sur votre navigateur ? Faites attention si vous avez installé l’extension Chrome dont on parle dans ce billet, car vous pourriez subir une exfiltration de données car elle donne à un serveur tiers l’accès aux données des utilisateurs.

Le token, désigné par le chercheur en cybersécurité Zach Edwards comme « God Mode », est exposé en clair dans les API du service, qui sont souvent utilisées pour l’intégration d’automatisations, de modules, de plugins, etc… En 2018, il y avait déjà des problèmes avec ce token, puisque 50 millions de comptes Facebook ont été supprimés en raison d’une « exposition du token ».

Francois Marier, ingénieur en sécurité chez Brave, a publié sur Github Issues qu’il a découvert que l’extension Chrome L.O.C. expose les données des réseaux sociaux à un éventuel vol. Si un utilisateur a installé cette extension sur son navigateur et qu’il est connecté à Facebook, l’application donne accès à certaines données de l’utilisateur à un serveur tiers.

Malgré les déclarations de Loc Mai, le créateur de l’application L.O.C., selon lesquelles, comme indiqué dans la politique de confidentialité de son application, celle-ci ne collecte pas d’informations sur les utilisateurs. L’application stocke le jeton localement. Ce dernier point permet à un développeur malveillant de l’utiliser pour obtenir les données des utilisateurs. Par exemple, l’API graphique de Facebook a besoin de ce jeton d’accès pour fonctionner. Cette API est l’un des principaux outils permettant aux applications d’effectuer des tâches de lecture et d’écriture sur le graphe social de Facebook, selon sa documentation.

Certains navigateurs, comme Brave, qui se vantent de prendre soin de la vie privée des utilisateurs qui utilisent ce navigateur, sont donc en train de bloquer l’installation de l’extension L.O.C..

Plus d’information:
https://cyber.vumetric.com/security-news/2022/02/12/facebook-exposes-god-mode-token-that-could-siphon-data/
https://github.com/brave/extension-whitelist/issues/48
https://news.dolakha.net/facebook-unveils-god-mode-can-be-used-by-crooks-register-original-news/
https://www.theregister.com/2022/02/12/facebook_god_mode/?&web_view=true

Correction de plusieurs vulnérabilités de haute gravité dans Mozilla Firefox 97

de

On 12/02/2022

dans CVE, Sécurité

Le dernier Patch Tuesday, la Fondation Mozilla a publié son bulletin de sécurité dans lequel 12 vulnérabilités ont été corrigées, dont 4 considérées comme étant de haute gravité.

Deux bugs présents dans les versions Firefox 96 et Firefox ESR 91.5 permettraient à un attaquant distant de corrompre la mémoire et vraisemblablement d’exécuter du code arbitraire (CVE-2022-22764 et CVE-2022-0511).

Une autre vulnérabilité, attribuée au code CVE-2022-22753, permettrait à un attaquant d’escalader ses privilèges en exploitant un bug « Time-of-Check Time-of-Use ». Dans un tel scénario, l’attaquant pourrait obtenir les privilèges du système et écrire dans un répertoire arbitraire. Cette vulnérabilité n’affecte que les systèmes Windows.

Un contournement des restrictions de sécurité qui permettrait à une extension malveillante d’installer une nouvelle version d’une telle extension sans afficher le message de confirmation est également corrigé (CVE-2022-22754).

Les vulnérabilités restantes sont considérées comme étant d’une criticité modérée et permettraient, entre autres, l’exécution de code Javascript à partir d’un onglet déjà fermé (CVE-2022-22755), l’exécution de code arbitraire en manipulant l’utilisateur pour qu’il fasse glisser une image sur son bureau ou dans un autre répertoire (CVE-2022-22756), la possibilité pour une page locale malveillante de contrôler un navigateur avec WebDriver activé (CVE-2022-22757), l’envoi de codes USSD via des liens « tel » (CVE-2022-22758), l’exécution de scripts dans des iframes isolées sans que la propriété « allow-scripts » soit active (CVE-2022-22760), ou l’application incorrecte des politiques de sécurité du contenu sur les pages accessibles depuis des extensions (CVE-2022-22761).

Il est fortement recommandé de mettre à jour dès que possible la dernière version de Mozilla Firefox qui corrige ces vulnérabilités.

Plus d’information:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/

Patch Tuesday

de

On 10/02/2022

dans CVE, Sécurité

Seulement 70 vulnérabilités corrigées ce mardi par Microsoft. Curieusement, aucune d’entre elles n’est critique, bien qu’il y en ait une publique sans exploit. La plus grave (mais pas critique, il y en a plusieurs qui sont censées permettre l’exécution de code) se trouve dans Sharepoint, avec un CVSS de 8.8. Elle semble facile à exploiter, bien qu’elle nécessite certaines autorisations de la part de l’attaquant (qui ne sont pas si difficiles à obtenir). Une autre faille de sévérité 8.8 dans le serveur DNS semble moins susceptible d’être exploitable.

La faille déjà connue est une élévation de privilège complexe à exploiter.

Et la file d’attente pour l’impression est toujours dans l’œil du cyclone. Quatre bugs, classés comme importants (ils permettraient une élévation), ont été corrigés. Microsoft semble bien auditer ce code depuis le fiasco de printNightmare en juillet 2021.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/

Microsoft désactive l’installateur MSIX pour éviter les abus

de

On 10/02/2022

dans CVE, Malware, Sécurité

Microsoft a annoncé la semaine dernière qu’elle avait temporairement désactivé le gestionnaire de protocole ms-appinstaler, qui était utilisé pour diffuser des logiciels malveillants tels que Emotet, TrickBot et Bazaloader.

MSIX est un format de paquet d’installation universel, qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation Windows ou d’autres plateformes. Le protocole ms-appinstaler, en particulier, est conçu pour permettre l’installation facile d’applications en cliquant sur un lien dans une page web.

L’année dernière, une vulnérabilité, CVE-2021-43890, a été découverte qui permettait d’usurper les installateurs d’applications légitimes tout en installant une application malveillante.

Alors que Microsoft a corrigé cette vulnérabilité en décembre dernier, la société a maintenant décidé de désactiver complètement le protocole ms-appinstaler pendant qu’elle travaille sur une solution complète et sécurisée au problème.

Microsoft reconnaît que cette fonctionnalité est essentielle dans de nombreuses entreprises et organisations, mais prendra le temps nécessaire avant de la réactiver. Cependant, la possibilité d’activer et de contrôler ce protocole par le biais de politiques de groupe est envisagée.

Plus d’information:
https://thehackernews.com/2022/02/microsoft-temporarily-disables-msix-app.html
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890

Page 16 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén