learn.hack.repeat

Étiquette : Sécurité Page 25 of 27

Print Nightmare

de

On 07/07/2021

dans CVE, Sécurité

Microsoft a été tellement pressé de publier un correctif pour #printNightmare, qu’il n’a pas attendu toutes les versions. « Updates are not yet available for Windows 10 1607, Server 2016, or Server 2012 ». Quoi qu’il en soit, il reste moins d’une semaine dans le cycle normal de juillet et il est possible que le correctif soit complet d’ici là.

Il semble que le correctif KB5005010 ne corrige pas non plus complètement la vulnérabilité principale, mais tente simplement d’empêcher le chargement des imprimantes sur le réseau en filtrant le chemin UNC lorsque Point&Print est configuré.

Le correctif comprend en outre une clé de registre configurable RestrictDriverInstallationToAdministrators pour restreindre davantage l’installation.

Plus d’information:
https://support.microsoft.com/es-es/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Crackonosh

de

On 29/06/2021

dans Malware

Le malware Crackonosh est surprenant non pas par son objectif ou sa formule de propagation, mais par sa technique pour passer inaperçu. Pour se propager, il utilise les cracks typiques et les téléchargements « warez » que l’utilisateur exécute lui-même, parfois même en mode administrateur. Sa formule pour atteindre l’utilisateur n’est donc pas très intéressante. Cependant, une fois exécuté, il modifie le système pour qu’il fonctionne en mode sans échec et redémarre en mode sans échec. Dans ce mode, Windows lance le strict minimum (y compris les pilotes) pour fonctionner et ne lance donc pas le système antivirus. Une fois dans ce mode, désactivez Defender et voyez s’il existe un autre antivirus pour le neutraliser également. Au prochain redémarrage « normal », ils ne fonctionneront plus.

Il désactive également les mises à jour et place une fausse icône verte de « vérification » sur le système afin que l’utilisateur ne remarque rien d’anormal. Il est intéressant de noter qu’il n’utilise pas de commande et de contrôle, mais envoie des paquets UDP à des adresses IP aléatoires. S’il y trouve de nouvelles versions de lui-même, il se met à jour à partir de ce système infecté.

Enfin, il extrait du Monero en « empruntant » des ressources système sans être détecté. Cela lui a permis de ne pas être détecté depuis 2018.

Plus d’information:
https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/

Patch Tuesday

de

On 12/06/2021

dans CVE, Sécurité

La correction de seulement 55 bugss est une anomalie pour un Patch Tuesday de Microsoft, alors que l’entreprise en corrige plus de 100 chaque mois depuis un certain temps :

  • Les bugs d’Exchange continuent d’être corrigés. Cinq cette fois. L’un d’eux était déjà connu.
  • Il y a quatre critiques. Le plus important dans l’implémentation de la pile de protocole HTTP (http.sys) qui permettrait l’exécution de code sur le serveur. C’est un problème inquiétant. Les autres sont hyper-V, OLE Automation, et le moteur de script d’IE 11.
  • Il ne faut pas oublier que la faille HTTP affecte également Windows 10. Il convient de souligner qu’il ne s’agit pas d’un problème lié à IIS mais au système d’exploitation.
  • Une autre vulnérabilité importante sur laquelle peu d’informations ont été publiées est une faille dans le système Wireless qui permettrait de divulguer des informations.

Plus d’information:
https://msrc.microsoft.com/update-guide

Patch Tuesday

de

On 09/06/2021

dans CVE, Sécurité

Ce mois-ci, nous avons moins de vulnérabilités (50, soit la moitié de ce qui a été corrigé chaque mois dernièrement) mais en contrepartie, beaucoup plus de vulnérabilités critiques : cinq. Et pour ne rien arranger, six vulnérabilités sont déjà exploitées par des attaquants. Il s’agit principalement d’élévations de privilèges. Dans la bibliothèque DWM Core, dans NTFS, dans le noyau et dans le Microsoft Enhanced Cryptographic Provider. Ce dernier est une exécution de code à distance sur la plateforme MSHTML.

Les deux bugs liés au Microsoft Enhanced Cryptographic Provider sont liés à un problème grave qu’Adobe a récemment corrigé (CVE-2021-28550) et qui était exploité par des attaquants envoyant des PDF permettant l’exécution de code.

Une autre faille à noter concerne Kerberos, car un attaquant pourrait contourner l’authentification.
Enfin, un problème d’exécution de code dans Defender, qui est facile à exploiter.

Plus d’information:
https://msrc.microsoft.com/update-guide

AXA ne paiera plus!

de

On 09/05/2021

dans Sécurité

Payer ou ne pas payer les criminels qui chiffrent les données d’une entreprise, telle est la question. AXA a pris une décision en France : la couverture d’assurance cybernétique ne restituera pas l’argent des rançons aux clients qui paient pour l’extorsion. Cette décision a été prise dans le cadre d’une table ronde du Sénat en France portant sur « l’épidémie mondiale dévastatrice de ranswomware ».

La décision de l’assureur est lourde de conséquences. La situation est critique, les dommages se chiffrent en millions et les victimes risquent non seulement de perdre des données, mais aussi de voir leurs informations divulguées au public si elles ne paient pas. Le sentiment d’impuissance est généralisé. Les cyberassureurs tels qu’AXA, qui pourraient couvrir le coût du paiement de la rançon, ont conclu que cette clause encourageait précisément la moins traumatisante des solutions : céder à l’extorsion. Non seulement elle a rendu l’activité d’assurance non rentable, mais elle a également alimenté le secteur de la cybercriminalité lui-même. Rappelez-vous que l’une des stratégies contre les attaquants est que si vous ne les payez pas, l’entreprise d’extorsion deviendra non rentable. Mais quelle est l’alternative pour de nombreuses organisations qui sont obligées de fermer leurs portes si elles ne paient pas ? Soit ils cèdent à l’extorsion et alimentent le processus qui renforce les attaquants (et se perpétue contre d’autres entreprises qui seront de futures victimes)… soit ils résistent au paiement et perdent tout.

Il faut étrangler le commerce des ransomwares non seulement en empêchant l’extorsion de fonds, mais aussi en améliorant la sécurité des entreprises et en adoptant des lois efficaces qui poursuivent les criminels avec des sanctions qui découragent les attaques. Facile à dire, complexe à mettre en œuvre. Mais une seule approche ne suffit pas. La décision d’AXA a montré que le fait de normaliser le paiement et de prendre le risque n’est pas non plus une option viable en soi.

Plus d’information:
https://abcnews.go.com/Technology/wireStory/insurer-axa-halts-ransomware-crime-reimbursement-france-77540351

Page 25 of 27

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén