learn.hack.repeat

Étiquette : Sécurité Page 10 of 27

Caffeine : une plateforme de Phishing-as-a-service

de

On 14/10/2022

dans Phishing, Sécurité

Récemment, une nouvelle plateforme de Phishing-as-a-Service (PhaaS) a été découverte, qui permet de lancer des attaques de phishing facilement, en utilisant sa fonction de processus d’enregistrement ouvert et en permettant ainsi à n’importe quel utilisateur de se faire passer pour une banque de manière rapide et facile.

Les attaques de phishing ne sont pas nouvelles, mais les caractéristiques d’utilisation de Caffeine pour les cybercriminels la distinguent des autres plateformes PhaaS, où les cybercriminels n’ont pas besoin d’invitations/références, ni de l’approbation d’un forum de piratage ou d’un administrateur de Telegram.

En outre, les modèles de phishing de Caffeine ciblent les plateformes russes et chinoises, contrairement à la plupart des plateformes PhaaS qui ciblent les services occidentaux.

La plateforme dispose d’une interface intuitive et son coût est relativement faible en comparaison.
Parmi ses fonctions, citons :

  • Des mécanismes en libre-service pour créer des kits de phishing personnalisés.
  • Gérer les pages de redirection intermédiaires.
  • Pages de leurre.
  • Générer dynamiquement des URL pour les charges utiles malveillantes qui y sont hébergées.
  • Suivez l’activité des e-mails de la campagne.

Mandiant a découvert et testé cette plateforme et l’a qualifiée de dangereuse, étant donné sa facilité d’accès au service en question. Caffeine a été détecté pour la première fois alors qu’il ciblait l’un des clients de Mandiant pour voler les informations d’identification des comptes Microsoft 365.

Les chercheurs de Mandiant ont mis en évidence la possibilité que les fraudeurs adoptent de nouvelles stratégies d’évasion. À la recherche de plateformes automatisées pour étendre leurs opérations, Caffeine est subtilement promu comme une option pour les cybercriminels peu qualifiés.

Pour rappel, quelques règle de base pour éviter/détecter quand nous sommes victimes d’une attaque de phishing :

  • Si vous recevez un mail vous demandant des informations personnelles ou financières, ne répondez pas.
  • Si le message vous invite à accéder à un site web par le biais d’un lien joint, n’entrez pas.
  • Activez l’authentification à deux facteurs (2FA).
  • Soyez vigilant avec les accès à partir de réseaux publics.
  • Ne téléchargez pas et n’ouvrez pas de fichiers provenant de sources non fiables.
  • Maintenez le logiciel de votre appareil à jour et évitez d’utiliser des applications non officielles.
  • Examinez les relevés bancaires et de cartes de crédit dès qu’ils sont reçus et, en cas de détection de transactions non autorisées, contactez immédiatement l’organisme émetteur.

Plus d’information :
https://duo.com/decipher/caffeine-a-readily-accessible-phishing-as-a-service-platform
https://cyware.com/news/phishing-campaigns-made-easy-courtesy-caffeine-7d511f24
https://www.mandiant.com/resources/blog/caffeine-phishing-service-platform

Vulnérabilité dans les produits Fortinet CVE-2022-40684

de

On 13/10/2022

dans CVE, Sécurité

L’entreprise de produits de sécurité indique que la vulnérabilité a été exploitée dans au moins un incident. Les produits FortiOS, FortiProxy et FortiSwitch manager, pourraient être laissés entre les mains d’un attaquant via des requêtes HTTP ou HTTPS malveillantes.

Source: fortinet.com

Cette vulnérabilité est classée comme CWE-288, c’est-à-dire qu’elle permet d’accéder à l’interface d’administration des produits affectés par des canaux ne nécessitant pas d’authentification. Pour valider si vous avez été victime d’une attaque, la société recommande de rechercher l’indicateur de compromission :

utilisateur="Local_Process_Access"

dans les journaux des appareils vulnérables.

Produits concernés

  • FortiOs 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 7.0.0, 7.0.0
  • FortiSwitchManager 7.2.0, 7.0.0

En plus des mises à jour correspondantes de ces produits pour corriger la vulnérabilité, la société a fourni une solution de contournement consistant à désactiver l’accès à l’interface d’administration via HTTP/HTTPS ou à créer une liste blanche des IP pouvant accéder au port correspondant.

La criticité de cette CVE est maximale, avec un score CVSSv3 de 9,6. Depuis le 7 octobre, des rapports ont commencé à circuler selon lesquels Fortinet contactait les administrateurs de ses produits pour qu’ils effectuent une mise à jour vers le nouveau correctif.

Interrogée sur la vulnérabilité, la société a indiqué qu’avant de la rendre publique, elle s’assurait que ses clients en étaient informés et mettaient en œuvre les mesures nécessaires pour éviter les incidents.

Comme indiqué sur twitter, les chercheurs de l’équipe d’attaque Horizon3 ont une preuve de concept prête, obtenue par rétro-ingénierie du patch publié. Cette preuve de concept sera publiée plus tard dans la semaine.

Compte tenu de la gravité de cette vulnérabilité et du type de produits qu’elle affecte, il est de la plus haute importance que les correctifs ou les solutions de contournement proposés par Fortinet soient appliqués immédiatement.

Plus d’information :
https://www.fortiguard.com/psirt/FG-IR-22-377
https://thehackernews.com/2022/10/fortinet-warns-of-active-exploitation.html
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
https://securityaffairs.co/wordpress/136905/breaking-news/cve-2022-40684-fortinet-products-exploited.html
https://infosecwriteups.com/cve-2022-40684-new-authentication-bypass-affecting-fortigate-and-fortiproxy-c9bd36112949
https://www.bleepingcomputer.com/news/security/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
https://www.rapid7.com/blog/post/2022/10/07/cve-2022-40684-remote-authentication-bypass-vulnerability-in-fortinet-firewalls-web-proxies/

toc-toc

de

On 28/07/2022

dans CVE

Microsoft a constaté une augmentation de la détection de portes dérobées basées sur des extensions de son serveur web Internet Information Services (IIS). La raison en est que les modules qui servent d’extensions à IIS sont parfaitement structurés pour camoufler un code malveillant qui passe sous la ligne radar des systèmes de détection des logiciels malveillants, y compris Microsoft Defender lui-même.

Pourquoi ? Les extensions IIS malveillantes sont programmées en C# et présentent généralement une structure logique minimale. Cela simplifie leur développement mais renforce également leur capacité de furtivité en générant le minimum d’activité nécessaire. Ils parviennent à passer inaperçus une fois qu’ils sont installés dans le système.

Mais malgré leur taille et leur fonctionnalité, ils sont capables de capturer des informations, de manipuler le trafic et d’ouvrir un shell web aux attaquants. Ils ne s’impliquent pas dans le système au-delà des domaines et des ressources du serveur web, évitant ainsi les endroits souvent visités par les logiciels malveillants.

L’article fournit des instructions sur la façon de déployer une stratégie défensive qui répond à ce cas particulier, ainsi que des indicateurs de compromission pour les extensions malveillantes connues.

Plus d’informations:
https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

The Office World

de

On 26/07/2022

dans CVE

Deux des bugs les plus importants de l’année sont apparus dans Office, et sont liés à de nouvelles façons d’exécuter du code dans Word ou Excel. La manipulation des appels de protocole intégrés permet l’exécution de code en dehors du contexte des macros. En janvier, nous avons encore eu des problèmes avec CVE-2021-40444 (protocole MSHTML) et en mai avec le dénommé Follina (protocole MSDT) qui permettait à nouveau l’exécution de code.

Cela a donné matière à réflexion : les macros ne sont-elles pas en train de devenir un vecteur d’attaque obsolète au profit de techniques plus sophistiquées, moins détectées et qui ont encore de beaux jours devant elles (on pense que les vulnérabilités liées à l’utilisation des protocoles intégrés dans Office vont continuer à apparaître). Mais il est intéressant de noter qu’une initiative de Microsoft a bouleversé cette idée à plusieurs reprises. En janvier, il a été annoncé que d’ici juin 2022, les macros seraient complètement bloquées pour les documents téléchargés sur le web. Et c’est ce qui s’est passé. Un message rouge beaucoup plus voyant est apparu pour tenter d’empêcher les utilisateurs d’activer les macros. Mais, juste en juillet, elle a annoncé qu’elle allait revenir sur ce changement. L’ancien « contenu admissible » était de retour. Les macros comme vecteur d’attaque avaient une pierre de moins sur leur chemin. Et nous disons « avait » car moins d’une semaine après l’annonce, il a encore changé d’avis : les macros sont à nouveau désactivées par défaut sans possibilité de les activer lorsqu’un utilisateur vient d’Internet. Espérons que ça reste ainsi. Il leur a fallu 25 ans pour prendre cette décision.

Plus d’information:
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3566717

La pomme interdite

de

On 13/07/2022

dans Sécurité

Apple met en place un curieux mécanisme de sécurité pour protéger les systèmes d’exploitation mobiles de la société contre les attaques de logiciels espions sophistiqués. Il s’agit d’un mode de fonctionnement restreint qui pourrait être activé par un utilisateur s’il remarque ou soupçonne que son appareil mobile est attaqué.

Ce mode, baptisé « Lockdown », obligerait iOS à fonctionner en mode extrêmement réduit afin de réduire la zone d’exposition. Par exemple, des fonctions telles que la réception de pièces jointes dans les messages, la prévisualisation de liens, etc. ou certaines techniques d’optimisation du moteur JavaScript Webkit seraient arrêtées.

En pratique, il s’agirait évidemment de limiter l’utilisation du terminal et des applications, afin que seul un petit nombre d’utilisateurs – ceux qui pensent être la cible d’opérations d’espionnage – soit obligé de l’activer. Ce n’est pas un mode « populaire » pour les utilisateurs, car l’expérience utilisateur serait profondément affectée.

Apple s’engage ainsi à doter son système mobile d’un mode de protection destiné à un certain public restreint, mais dont l’impact médiatique est, comme nous l’avons vu à la une des journaux, important. En fait, l’entreprise offre une prime de bogue pouvant aller jusqu’à deux millions de dollars aux chercheurs qui parviendront à contourner les protections proposées par le mode Lockdown.

Plus d’information:
https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/

Page 10 of 27

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén